Основные проблемы с безопасностью


Предыдущая | Следующая

1. Настройки антивируса — проверьте исключения.Часто на всех ПК в сети организации, исключения настроены единообразно. К примеру исключения на одну папку которую можно создать.

2. Забытые хосты — чаще всего не обновляются, не участвуют в общей системе безопасности, не мониторятся.

3. LLMNR и NBNS спуфинг — суть в том, что клиент рассылает мультикастные LLMNR (https://ru.wikipedia.org/wiki/Link-Local_Multicast_Name_Resolution) - и широковещательные NBT-NS-запросы для разрешения имен хостов, если сделать это по DNS не удалось. На такие запросы может ответить любой пользователь сети. Если простыми словами, то это два включенных по умолчанию протокола, которые позволяют нам практически незаметно для пользователей в сети сети встать посередине и угнать хэши учетных записей домена.

Инструменты, которые позволяют провести атаку:
• Responder
• Inveigh
• Модули Metasploit: auxiliary/spoof/llmnr/llmnr_response, auxiliary/spoof/nbns/nbns_response, auxiliary/server/capture/smb, auxiliary/server/capture/http_ntlm

4. Пароли в LSASS (https://winitpro.ru/index.php/2013/12/24/poluchenie-v-otkrytom-vide-parolej-polzovatelej-avtorizovannyx-v-windows/) — Mimikatz (https://t.me/Social_engineering/1659) (подробный гайд тут (https://t.me/Social_engineering/1600)) лучшее средство поднятия привилегий. Эта чудо-тулза позволит нам достать пароли из оперативной памяти процесса lsass.exe, в открытом виде.

5. Настроенная политика по смене паролей — в большинстве компаний установлена политика смены паролей, которые меняются по заданному промежутку времени. Например каждые 120 дней. В 70% случаев, пароли в такой компании будут: May2022, June2022, July2022 или Vfq2022, fghtkm2022 и т.д.