Комментарии 2
Год в сисадминстве ( Жёстком таком, на аутсорсе, с 100+ компаниями), пол года в ИБ, и читая эту статью я почувствовал, что она написана хорошо и понятно для обычного человека ( не семи пядей во лбу) увидел для себя очень много интересного
Но есть один минус, нужно из под админа как то такое провернуть, так же вопрос, мне кажется в доменной структуре AD получиться ли провернуть, что то подобное, т.е. оставить пользователя без отображения членства в группе, но с правами админа ( 99% уверен, что нет, но хочу услышать какие то ваши мысли на тему)
Так же интересно, какими "стандартными" средствами такое можно детектить, в каких EDR агентах такое может быть настроено ПО УМОЛЧАНИЮ, потому что ручками отсматривать журналы, это дело неблагодарное
Заранее спасибо
Доброго времени суток!
С радостью отвечу на ваши вопросы:
Данный способ получится провернуть только для локальных пользователей, так как мы изменяем SAM (диспетчер локальных учётных записей безопасности). Всё, что касается доменных учёток, никак не фигурирует в сущности SAM.
Также небольшое дополнение к вашим словам: изменять SAM можно только с правами SYSTEM, так как SAM — критически важный компонент ОС.
Касаемо детекта:
Каждая EDR по-своему устроена под "капотом", но я предполагаю, что любая современная EDR способна отслеживать цепочки событий + контроль WinAPI, что позволяет покрыть детект изменений в реестре с "коробки", в частности в SAM.
Также для более углубленного мониторинга можно интегрировать EDR с SIEM решениями
RID Hijacking