Password et hash spraying

kerbrute passwordspray -d $domain --dc $ip users.txt  $password

netexec smb $ip -u users.txt -p $password | grep +

netexec smb $ip -u users.txt -H hash.txt | grep +

Import-Module .\DomainPasswordSpray.ps1

Invoke-DomainPasswordSpray -Password Welcome1 -OutFile spray_success -ErrorAction SilentlyContinue

Catégorie	Information
TTP	Tentatives d'accès par essais de mots de passe communs sur de nombreux comptes
CWE	CWE-307 (Improper Restriction of Excessive Authentication Attempts)
Description de l'attaque	Le Password Spraying consiste à tester un ou quelques mots de passe courants contre un grand nombre de comptes utilisateurs, réduisant ainsi le risque de détection par rapport aux attaques de force brute classiques.
Impacts potentiels	- Accès non autorisé à de multiples comptes - Compromission de la sécurité des informations - Potentiel d'attaques plus larges sur le réseau
Comment la détecter	- Surveillance des tentatives de connexion échouées sur de nombreux comptes - Analyse des journaux pour identifier les modèles d'accès suspects - Utilisation de solutions de détection d'intrusion
Remédiations/mitigations	- Mise en œuvre de l'authentification multi-facteurs (MFA) - Politiques de mots de passe forts et variés - Verrouillage de compte après un nombre limité de tentatives échouées - Formation et sensibilisation des utilisateurs sur la sécurité des mots de passe
Lien de référence	OWASP - Password Spraying Attack