T-Cross May 5 at 16:32

Атаки на защиту: Evilent или ещё один coerce

Medium

4 min

2.2K

T.Hunter corporate blogInformation Security*

Comments 4

olegtsss May 5 at 19:27

Какие риски содержит в себе утечка хеша машинной учебной записи ? И эта учетная запись заводится специально для антивируса ?

HalloweenVcK May 6 at 07:52

Один из вариантов (который и отображен на скриншотах) - это при наличие в домене ADCS можно с помощью учетной записи получить сертификат контроллера домена, что по сути приводит к полной компрометации домена. Антивирус в данном случае (будучи в ядре) обращается от учетной записи компьютера, на котором запущен.

olegtsss May 6 at 18:41

Я так понимаю, что можно обойтись и без ADCS, воспользовавшись Silver Ticket? Это скорее косяк в работе средств антивирусной защиты, нежели окружения windows. Их софт самостоятельно лезет куда не нужно.

T-Cross May 6 at 13:57

В дополнение к предыдущему ответу, наибольший риск утечки хэша машинной УЗ - это полная компрометация этой самой машины или повышение привилегий\боковое перемещение в домене AD.
Машинная учетная запись это учетка самой операционный системы Windows от имени которой работают различные службы с максимальными привилегиями, в том числе на доменных машинах из под этой учетки работают некоторые антивирусы