Backdoor в Active Directory #2

[ComodoHacker]

Символ 202Е набирает популярность. После маскировки файла hosts троянами это большой шаг вперед. :)

Для соблюдения вселенского баланса сил не хватает скрипта поиска 202E в именах учетных записей домена.
И код что-то не отформатирован.

[navion]

А возможно ли ограничить набор символов в именах объектов? В схеме много всего прячется, может и на такой случай существует параметр…

[devteev]

да, возможно. Более того, для разных объектов (имена пользователей, группы, OU, etc) существуют различающиеся ограничения по символам юникода. Т.к. существует огромное количество невидимых символов, подобный подход врятли может быть эффективным…

[omnimod]

Статья из серии — чтобы взломать систему нам понадобятся:
1. Пароль учетной записи root
…

В серьезных организациях вряд ли кто-то будет лазить по ADUC в поисках закладок, поставят какой-нибудь Symantec Security Information Manager или Quest InTrust и при любых отклонениях СБ будет расстреливать подозрительные объекты и заодно всех причастных к их появлению.

[btr]

в пентестинге любая зацепка важна, ни кто и не говорит что поголовно у 50% админов можно будет заюзать данный метод.

[devteev]

первое предложение — «статья на тему пост-эксплуатации».
К теме серьезных организаций: «против лома нет приема, если нет другого лома» (с)

[uksus]

Согласен с предыдущим оратором. Более-менее ответственные администраторы пользуются не только визуальным просмотром каталога. Старый добрый аудит еще никто не отменял.

[ekungurov]

Перечитайте статью и пройдите по всем ссылкам, которые найдете.