Black Box пентест: как один домен привел к полной компрометации инфраструктуры. Часть 2

[Granulex]

Ключевой урок здесь – не NTDS.DIT и не PetitPotam, а бэкап в открытой сетевой шаре. Правило для AD-сред: агент бэкапа имеет права write-only на таргет, ключи шифрования хранятся отдельно от архивов, шара закрыта на межсегментном уровне. Иначе бэкап – это просто второй вектор компрометации всего домена. Другими словами: резервные копии в открытой сетевой шаре – не бэкап, а gift wrap для пентестера.

[dmitry_tarakanov]

Ну я бы еще отметил открытые SMB + IIS + с имперсонализацией. Но бэкапы, доступные обычному пользаку по RDP - это конечно эпик фэил. Также не совсем понятно, по какой причине не атаковать через заббикс, учитывая, что его агенты зачастую имеют повышенные привилегии.

В контексте логики атакуемых также не совсем понятно с одной стороны разделение доменов, но при этом одновременно хэши админов и отсутствие фаирволлов как таковых.

[falcon4fun]

Поинтересуюсь про заббикс. А какие варианты? Сам юзаю другой мониторинг, поэтому и спрашиваю. (Да и немного тугодумится сегодня, выберу помощь зала XD)