DCShadow — новая техника атаки на Active Directory

[prundukevich]

1. Чтобы внедрить подложный доменный контроллер необходимо получить highly privileged account like domain or Enterprise admins.
Вопрос. Если получить такие права — нельзя ли в АД вообще всё что угодно делать? Какова тогда цель атаки?

[LukaSafonov]

Цель атаки пост-эксплуатация и скрытное закрепление в системе.

[amarao]

Очень узкая и специфичная атака.

С учётом, что админ домена чаще всего может менять схему AD, вфигачить в схему объект нового типа, который может «логиниться» на компьютеры куда проще, чем изображать ценый контроллер домена.

[KoMePcAHT]

нормальный админ первым делом лишит себя возможности менять схему, создаст для этого отдельную учетку и будет использовать по мере надобности

[amarao]

А потом на установке эксчейнжа могут быть замечательные сюрпризы, если пользователь имеет право менять схему, но не является локальным админом. А если является — то именно эту учётку и будут компрометировать.

Алсо, нормальные «Администратор»'ы не сидят с админскими правами на рабочих машинах.

[Aivendil]

Да, тоже начал читать и дойдя до схемы процесса, в которой первый шаг получить Enterprise Admin, был несколько удивлён.

[Aivendil]

Такое ощущение, что статья — перевод, хотя заявлена, вроде, как авторский материал. Сложно представить, что фраза «С помощью DCShadow больше не нужно пытаться реплицировать данные, необходимо регистрировать новые контроллеры домена в целевой инфраструктуре» была сразу насписана по русски.

[Visphord]

Enterprice admin — не самое большое, что можно получить из домена. С использованием тех-же техник автора утилитки можно получить золотой билетик, который скинуть уже не так просто как сменить пароль админу. А если копнуть еще глубже — я понял что можно засесть так, что без создания всего леса с 0 выкинуть хакера будет нереально.