Atak DCShadow
DCShadow to jedno z najnowszych zagrożeń w środowisku Active Directory wykorzystywane w ostatniej fazie KILLCHAIN. Pozwala atakującemu, który uzyskał już prawa administratora domeny, na wprowadzanie zmian...
Bardzo istotny, a mało znany obiekt w AD – AdminSDHolder
AdminSDHolder jest jedną z metod planu "KILLCHAIN" w środowisku Microsoft umożliwiającą utworzenie w domenie tylnej furtki (ang.backdoor), dzięki której atakujący może posiąść stały dostęp do najbardzie...
Kradzież pliku NTDS.dit. Baza danych Active Directory w zasięgu ręki
Kolejną techniką bardzo często wykorzystywaną w wewnętrznym ataku na organizacje jest kradzież pliku ntds.dit z kontrolera domeny. W pliku tym przechowywane są skróty (ang. hash) wszystkich haseł do kont...
Crakowanie biletów Kerberos kont serwisowych
Kerberoast to rodzaj ataku, którego celem jest zdobycie poświadczeń kont serwisowych i uzyskanie dostępu do nowych zasobów w domenie. Jest często wykorzystywany w fazie eskalacji uprawnień. Po dobrze...
Pass-the-Hash – wykorzystywanie zdobytych poświadczeń
Pass-the-Hash to jedna z najbardziej znanych technik używanych przez hakerów w planowanym ataku. W poprzednich postach pokazaliśmy jak atakujący zdobywają skróty (ang. hashes) haseł w domenie. Wykonu...
Password Spraying, czyli atak odwrotny do Brute Force
Bardzo często w zaplanowanym, wieloetapowym ataku hakerzy dochodzą do momentu, gdzie próbują złamać hasło do konta metodą słownikową. Większość specjalistów cyberbezpieczeństwa dobrze zna tradycyjne ata...
Atak na Active Directory – DCSync
DCSync to jeden z exploitów, który może być użyty w zaplanowanym atakuKILLCHAIN. Pozwala obejść restrykcje dostępu do kontrolera domeny i wyciągnąć z niego dane, nie posiadając najwyższych uprawnień. W...
Rozpoznanie w środowisku Active Directory poprzez protokół LDAP
Rozpoznanie to pierwszy krok kampanii KILLCHAIN. Od niego rozpoczyna się każdy atak wewnątrz domeny Active Directory. Udane kampanie phishingowe lub zewnętrznie dostarczony malware spowodują, że ataku...
