Comments
Все понятно кроме этого.
«В этом списке мы видим учетную запись компьютера, которую мы уже идентифицировали и к которой уже получили доступ:»
Такое ощущение что кусок выдрали. Когда доступ к Sharepoint появился? О наличии оного в группе helpdesk только что узнали и уже есть доступ?
Как было указано выше в статье, предполагается, что доступ для атаки на Hub-Sharepoint уже был получен в рамках отдельных атак: это могли быть фишинг, эксплоиты, соц.инженерия и т.п. В этой статье мы опускаем подробности получения рут-доступа к этому серверу, это будет тема отдельного цикла статей по неуловимой малвари. Поэтому в этот раз это было опущено намеренно, очевидно, здесь просто возникла путаница.
Ну тогда я бы добавил в самом начале больше вводных данных и ссылки на статьи или указали, что как было написано ранее в статье(ссылка). И если вы упускаете как получили доступ то так и надо писать. Просто логическая цепочка ломается и статья теряет целостность.
мы считаем, что злоумышленник получил права локального администратора на исследуемой системе


Ок, получил.
Но ему же еще надо попасть в домен. Или он еще и права доменного пользователя получил?..
Локальная учетная запись пользователя является доменной записью и обладает правами админа на исследуемой системе — тут все как в классике. По сути статья является ещё одним предупреждением не давать прав админа, в том числе, и доменным учёткам.
Ни разу такого не встречал… Если разворачивать домен, то и переносить пользователей туда же, не? Тем же Powershell'ом — минутное дело. Но Вам виднее, конечно — если говорите, что это классика.
Ну как же, ведь были компоненты от BS которые стартовали только от локального администратора. Это было давно. Но скорее всего есть некоторый софт, который стартует только от администратора. В силу того, что его не переписали а в продакшене он используется.
Это нам неведомо, но факт остаётся фактом. Мы часто с таким сталкиваемся в реальности.
Only those users with full accounts are able to leave comments. Log in, please.