Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1134 , T1134.001 , T1134.002 , T1134.003 , T1134.004 , T1134.005
Злоумышленники могут использовать SID-History Injection для повышения привилегий и обхода контроля доступа. Идентификатор безопасности Windows (SID) - это уникальное значение, которое идентифицирует учетную запись пользователя или группы. SID используется системой безопасности Windows как в дескрипторах безопасности, так и в маркерах доступа (цитата: Microsoft SID). Учетная запись может содержать дополнительные SID в атрибуте SID-History Active Directory (цитата: Microsoft SID-History Attribute), что позволяет осуществлять совместимую миграцию учетных записей между доменами (например, все значения в SID-History включаются в маркеры доступа).
С правами администратора домена (или эквивалентными) в SID-History могут быть вставлены собранные или хорошо известные значения SID (цитата: Microsoft Well Known SIDs Jun 2017), позволяющие выдавать себя за произвольных пользователей/группы, например администраторов предприятия. Такая манипуляция может привести к расширенному доступу к локальным ресурсам и/или доступу к иным недоступным доменам с помощью таких методов латерального перемещения, как Remote Services, SMB/Windows Admin Shares или Windows Remote Management.
https://attack.mitre.org/techniques/T1134/005
Визуализация смежных техник для T1134.005
| № | Техника |
|---|
