Разбор работы Deception на примере атаки

[HappyGroundhog]

Хорошая рекламная статья, но есть несколько НО:

1. Вопрос, каким образом машинка с Kali попала во внутреннюю сеть оставим открытым... Хотя если это фишинг и мы просто пробросили канал доступа к машине, то нам уже доступна "нативная" SMB подпись от рабочей станции.

2. Ни один уважающий себя Read Team или адекватный злоумышленник не запустит скан подсети даже по 445 портам. Это как прийти ночью грабить банк, но при этом ломиться в каждую дверь в надежде, что она не заперта. Так сделает только совсем отчаявшийся пентестер, так как любой адекватный SOC поймает его мгновенно. Про Password Spray вообще говорить не буду.

3. Очень хочу посмотреть на дампы LSASS с правами пользователя или традиционным нынче включенным Credential Guard. Найденный "случайно" локальный админ это просто праздник какой-то)

[Desem]

Не хватает автоматики в конце что ли, если атака ночью и ИБшник с админом сладко спят ? Придя на работу они уже "утекут", а вот бы автоматика например выключила машину или порт на коммутаторе, такое можно ?

[AleksBorisov]

Действительно, я не описал возможности по интеграции с другими СРЗИ. Да, можно автоматизировать блокировку зловредного узла. Например, Deception отправляет в NAC систему (Portnox или аналоги) сообщение с указанием узла с которого идет зловредная деятельность. NAC заблокирует устройство. Замечу, "дружить" можно не только с NAC, но и с МЭ, EDR и т.д. Вендоры Deception систем понимают, что раз у этих систем около 0% ложных срабатываний, то автоматизация реагирования работает превосходно.