Varonis Systems corporate blog
Information Security
System administration
PowerShell
Comments 9
+1
Все понятно кроме этого.
«В этом списке мы видим учетную запись компьютера, которую мы уже идентифицировали и к которой уже получили доступ:»
Такое ощущение что кусок выдрали. Когда доступ к Sharepoint появился? О наличии оного в группе helpdesk только что узнали и уже есть доступ?
+1
Как было указано выше в статье, предполагается, что доступ для атаки на Hub-Sharepoint уже был получен в рамках отдельных атак: это могли быть фишинг, эксплоиты, соц.инженерия и т.п. В этой статье мы опускаем подробности получения рут-доступа к этому серверу, это будет тема отдельного цикла статей по неуловимой малвари. Поэтому в этот раз это было опущено намеренно, очевидно, здесь просто возникла путаница.
0
Ну тогда я бы добавил в самом начале больше вводных данных и ссылки на статьи или указали, что как было написано ранее в статье(ссылка). И если вы упускаете как получили доступ то так и надо писать. Просто логическая цепочка ломается и статья теряет целостность.
0
мы считаем, что злоумышленник получил права локального администратора на исследуемой системе


Ок, получил.
Но ему же еще надо попасть в домен. Или он еще и права доменного пользователя получил?..
0
Локальная учетная запись пользователя является доменной записью и обладает правами админа на исследуемой системе — тут все как в классике. По сути статья является ещё одним предупреждением не давать прав админа, в том числе, и доменным учёткам.
0
Ни разу такого не встречал… Если разворачивать домен, то и переносить пользователей туда же, не? Тем же Powershell'ом — минутное дело. Но Вам виднее, конечно — если говорите, что это классика.
0
Ну как же, ведь были компоненты от BS которые стартовали только от локального администратора. Это было давно. Но скорее всего есть некоторый софт, который стартует только от администратора. В силу того, что его не переписали а в продакшене он используется.
0
А каким образом учетная запись компьютера попала в группу «HelpDesk»?
0
Это нам неведомо, но факт остаётся фактом. Мы часто с таким сталкиваемся в реальности.
Only those users with full accounts are able to leave comments., please.