Атаки на домен: Kerberoasting, Pass-the-Hash и защита

Повышение привилегий в Windows через штатные механизмы

от

Операционная система кэширует состояния и наследует права, чтобы поддерживать скорость работы сетей и упрощать развёртывание. Одна ошибка в реестре или настройке делегирования превращает штатный вызов в полный доступ к узлу без запроса пароля. https://seberd.ru/25783 Почему процесс lsass хранит учётные данные в памяти и когда изоляция не срабатывает Архитектура операционной системы вынуждает процесс lsass.exe кэшировать билеты … Читать далее

Модель элевации в Windows: что происходит, когда вы нажимаете «Да»

от

Большинство людей видят UAC как раздражающее всплывающее окно. Нажал «Да» — программа запустилась с правами. Нажал «Нет» — не запустилась. Кажется, всё понятно. На самом деле за этим диалогом стоит многоуровневый механизм, который работает принципиально по-разному в зависимости от типа учётной записи. И именно это различие определяет, насколько сложно вредоносному коду получить права в вашей … Читать далее

Переопределение службы как вектор эскалации привилегий

от

«Повышение прав через службы Windows — классический приём, но путь через перезапись исполняемого файла часто остаётся в тени. Всё внимание уходит на проверку прав в реестре или на использование уязвимых библиотек, в то время как открытая на запись папка со службой может дать мгновенный доступ от имени SYSTEM.» Как работает вектор атаки через замену исполняемого … Читать далее

Как происходит повышение привилегий

от

«Повышение привилегий, это не просто взлом администратора. Это многослойная система эксплойтов, использующая ошибки проектирования операционных систем, доверие между компонентами и слепые пятна в политиках безопасности для подмены самой логики контроля доступа.» Механизмы обхода контроля доступа Злоупотребление UAC и API для повышения прав Контроль учётных записей пользователей (UAC) в Windows должен запрашивать подтверждение на запуск процессов … Читать далее

Атаки с использованием Pass the Hash

от

«Эта статья не про сложные взломы или трояны. Речь о том, как невероятно простое действие — украсть не пароль, а его отпечаток — может полностью перевернуть безопасность огромной сети. Всё упирается в один системный файл и протокол, который до сих пор нельзя просто выключить». Хранение паролей в Windows: SAM и хеши Windows никогда не хранит … Читать далее

Атаки Pass the Hash что это такое

от

«Мы спорим о сложных протоколах и системах обнаружения, а злоумышленнику иногда нужен всего один кусок данных, который у нас уже есть. Pass-the-Hash, это атака, которая работает не потому, что мы что-то сломали, а потому, что мы слепо доверяем фрагменту информации там, где должны доверять только секрету». 1. Хранение паролей: не секрет, а его отпечаток В … Читать далее

Как извлечь учетные данные с помощью Mimikatz

от

«Понимать Mimikatz, это не вопрос выбора для защитника, а профессиональная необходимость. Это как изучать устройство отмычки, чтобы сделать замок надежнее. В реалиях российского ИТ, где требования 152-ФЗ и ФСТЭК диктуют необходимость защиты персональных данных, знание этого инструмента помогает не столько атаковать, сколько строить оборону, которая не сломается при первом же контакте с реальной угрозой.» На … Читать далее

Атака Kerberoasting в Active Directory: механика, обнаружение и защита

от

Атака Kerberoasting использует стандартный механизм запроса сервисных билетов в Active Directory. Злоумышленник, действуя под учетной записью обычного пользователя домена, запрашивает сервисный билет (TGS) для учетной записи с SPN и впоследствии может провести подбор пароля в офлайн-режиме. Защита требует выключения устаревших алгоритмов шифрования, внедрения управляемых сервисных учетных записей (GMSA) и непрерывного мониторинга событий 4769 в логах … Читать далее