Active Directory

  • Хабрахабр

    Remote Desktop глазами атакующего

    Компании, у которых не были организованы системы удалённого доступа, в экстренном порядке разворачивали их пару месяцев назад. Не все администраторы были готовы к такой “жаре”, как следствие — упущения в безопасности: некорректная конфигурация сервисов или даже установка устаревших версий ПО с обнаруженными ранее уязвимостями. Одним эти упущения уже вернулись бумерангом, другим повезло больше, но выводы уж точно стоит сделать всем.…

    Подробнее »
  • Хабрахабр

    Hack The Box — прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash

    Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье разберемся с AS-REP Roasting в схеме аутентификации Kerberos, используем BloodHound для разведки в домене, выполняем атаку DCSync PrivExchange и атаку Pass-The-Hash. Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где…

    Подробнее »
  • Хабрахабр

    [Перевод] Выкупать — так королеву: Varonis расследует быстро распространяющийся шифровальщик-вымогатель “SaveTheQueen”

    Новая разновидность вредоносного ПО класса вирусов-вымогателей зашифровывает файлы и добавляет к ним расширение ".SaveTheQueen", распространяясь через системную сетевую папку SYSVOL на контроллерах доменов Active Directory. Наши заказчики столкнулись с этим вредоносом недавно. Приводим наш полный анализ, его результаты и выводы ниже.ОбнаружениеОдин из наших заказчиков связался с нами после того, как они столкнулись с новым видом шифровальщика-вымогателя, который добавлял расширение ".SaveTheQueen"…

    Подробнее »
  • Хабрахабр

    Домен corp.com выставлен на продажу. Он опасен для сотен тысяч корпоративных компьютеров под управлением Windows

    Схема утечки данных через Web Proxy Auto-Discovery (WPAD) при коллизии имён (в данном случае коллизия внутреннего домена с названием одной из новых gTLD, но суть та же). Источник: исследование Мичиганского университета, 2016 Майк О'Коннор, один из старейших инвесторов в доменные имена, выставляет на продажу самый опасный и спорный лот своей коллекции: домен corp.com за $1,7 млн. В 1994 году О'Коннор…

    Подробнее »
  • Хабрахабр

    Домен corp.com выставлен на продажу. Он опасен для сотен тысяч корпоративных компьютеров под управлением Windows

    Схема утечки данных через Web Proxy Auto-Discovery (WPAD) при коллизии имён (в данном случае коллизия внутреннего домена с названием одной из новых gTLD, но суть та же). Источник: исследование Мичиганского университета, 2016 Майк О'Коннор, один из старейших инвесторов в доменные имена, выставляет на продажу самый опасный и спорный лот своей коллекции: домен corp.com за $1,7 млн. В 1994 году О'Коннор…

    Подробнее »
  • Хабрахабр

    [Перевод] LDAP-«аутентификация» — это антипаттерн

    Если присмотреться, вы найдете одно или несколько приложений, которые используют этот же каталог для «аутентификации». Сегодня в любой организации есть LDAP-каталог, наполненный пользователями этой организации. Это не протокол аутентификации. И кавычки здесь неспроста, ведь LDAP — это протокол доступа к каталогам, спроектированный для чтения, записи и поиска в службе каталогов. Широко распространенные и доступные службы LDAP, такие, как Active Directory,…

    Подробнее »
  • Хабрахабр

    [Перевод] Пентест Active Directory. Часть 1

    Перевод статьи подготовлен специально для студентов курса «Пентест. Практика тестирования на проникновение». К сожалению, OSCP не учит пентестированию AD, и даже курс SANS GPEN едва касается этого. У меня было несколько клиентов, пришедших ко мне перед пентестом с уверенностью в том, что они были в хорошей форме, потому что их анализ уязвимостей не показал критических уязвимостей, и что они готовы…

    Подробнее »
  • Хабрахабр

    Разворачиваем Active Directory всеми возможными методами

    Одним из реально полезных нововведений в Windows Server 2019 является возможность вводить серверы, не делая Sysprep или чистую установку.  Развернуть инфраструктуру на виртуальных серверах с Windows Server никогда еще не было так просто. Сегодня поговорим о том, насколько же, оказывается, просто устанавливать и управлять Active Directory через Powershell. Устанавливаем роль RSAT или локальный сервер с GUI: Сначала нужно добавить сервер…

    Подробнее »
  • Хабрахабр

    Атаки на трасты между доменами

    В случае аутентификации между трастами выполняется следующая логика: Проверяется Direction Trust Relationships (направление доверительных отношений). На контроллер домена A отправляются учетные данные клиента для прохождения аутентификации. Если доверительных отношений нет, то проверяется Transitivity (транзитивность) с доменом A. Проверка Transitivity (транзитивность) между доменами Если транзитивность между доменами есть, то передается запрос аутентификации следующему домену в пути доверия. Этот контроллер домена повторяет…

    Подробнее »
  • Хабрахабр

    Атаки на домен

    При проведении тестирований на проникновение мы довольно часто выявляем ошибки в конфигурации домена. Хотя многим это не кажется критичным, в реальности же такие неточности могут стать причиной компрометации всего домена. Сеть регулярно сканировалась, машины хардились. К примеру, по итогам пентеста в одной компании мы пришли к выводу, что все доступные машины в домене были не ниже Windows10/Windows Server2016, и на…

    Подробнее »


Кнопка «Наверх»
Закрыть