事先不了解系统或环境中合法凭证的对手可能会猜测密码，以试图访问帐户。如果不知道帐户的密码，对手可能会选择使用重复或迭代机制系统地猜测密码。在操作期间，对手可能在不了解系统或环境密码的情况下，通过使用常用密码列表来猜测登录凭据。密码猜测不一定会考虑目标的密码复杂度策略，以及多次尝试失败后锁定帐户的策略。

        由于可能导致大量身份验证失败和帐户锁定，密码猜测可能成为一个危险的选择，但这取决于组织的登录失败策略。

         通常在猜测密码时，会使用使用常用端口的管理服务。一般的目标服务包括:

• SSH (22/TCP)

• Telnet (23/TCP)

• FTP (21/TCP)

• NetBIOS / SMB / Samba (139/TCP & 445/TCP)

• LDAP (389/TCP)

• Kerberos (88/TCP)

• RDP / 终端服务 (3389/TCP)

• HTTP/HTTP 管理服务(80/TCP & 443/TCP)

• MSSQL (1433/TCP)

• Oracle (1521/TCP)

• MySQL (3306/TCP)

• VNC (5900/TCP)

        除了管理服务之外，对手可能的目标还有“针对使用联合身份验证协议的单点登录(SSO)和基于云的应用程序”，以及面向外部的电子邮件应用程序，如Office 365。

        在默认环境中，LDAP和Kerberos连接尝试不太可能触发SMB上的事件，这会创建Windows“登录失败”事件ID 4625。

完整列表请戳“阅读原文”

       监控“有效帐号”的系统以及应用登录失败的鉴权日志。如果身份验证失败率很高，则可能存在使用合法凭证访问系统进行蛮力破解的尝试。

**参考来源：ATT&CK，胖头鱼编译，欢迎转载，转载请注明出处，非常感谢~~