Какой смысл ломать пароль Администратора, если для указанных действий у вас достаточно его хеша?
"но я сделал дамп хранилища локальных учетных записей, LSA. " - Зачем делать таким образом локально (reg save), если secretsdump делает удаленно? И можно простыми скриптами сразу проверять на множестве хостов? Особенно, если там работает сием...
Ну просто вероятность выловить таким образом учетку, от имени которой запустили сервис мелковата... Обычно это всё-таки сервисные учетные записи, которые вряд ли в каком-то осинте всплывут... И за время поиска, скорее всего, найдется учетка с минимальными правами, чтобы выполнить по классическому пути..
Так-то да, но злоумышленник, попадая в сеть, не знает точные настройки систем мониторинга. Может там статистика за сутки подводится, а может за 15 минут. Так то понятно, что никто сразу не будет запускать никакие активные сканеры и коллекторы, если надо оставаться незамеченным. Сначала трафик посмотреть. Конечные точки оттуда можно взять.
Отследить BloodHound (если уж есть SIEM) можно по количеству обращений от одного хоста к большому количеству других. Будет авторизация в каждом, чтобы собрать сессии и подобное. А обычные LDAP запросы делают большое количество систем и я всплеска при запуске коллектора не видел. Хотя, зависит от режима запуска, наверное...
К тому же, скорее всего, будет инцидент, как необычное поведение пользователя, если своё правило именно под BH не писали.
Какой смысл ломать пароль Администратора, если для указанных действий у вас достаточно его хеша?
"но я сделал дамп хранилища локальных учетных записей, LSA. " - Зачем делать таким образом локально (reg save), если secretsdump делает удаленно? И можно простыми скриптами сразу проверять на множестве хостов? Особенно, если там работает сием...
Ну просто вероятность выловить таким образом учетку, от имени которой запустили сервис мелковата... Обычно это всё-таки сервисные учетные записи, которые вряд ли в каком-то осинте всплывут... И за время поиска, скорее всего, найдется учетка с минимальными правами, чтобы выполнить по классическому пути..
А откуда вы возьмете список пользователей, в таком случае? Перебором на каком-нибудь exhange? Или просто подставляя рандомный список?
"1.PsExec, используя протокол SMB, перемещает файл PsExecsvc.exe (создан PsExec заранее)"
Перемещается файл PsExesvc.exe
Так-то да, но злоумышленник, попадая в сеть, не знает точные настройки систем мониторинга. Может там статистика за сутки подводится, а может за 15 минут. Так то понятно, что никто сразу не будет запускать никакие активные сканеры и коллекторы, если надо оставаться незамеченным. Сначала трафик посмотреть. Конечные точки оттуда можно взять.
Отследить BloodHound (если уж есть SIEM) можно по количеству обращений от одного хоста к большому количеству других. Будет авторизация в каждом, чтобы собрать сессии и подобное. А обычные LDAP запросы делают большое количество систем и я всплеска при запуске коллектора не видел. Хотя, зависит от режима запуска, наверное...
К тому же, скорее всего, будет инцидент, как необычное поведение пользователя, если своё правило именно под BH не писали.
Конечно. Логин передается в открытом виде, хеширование пароля NetNTLMv1.
Например, можно использовать airgeddon, но это просто надстройка