Техники: T1552 , T1552.001 , T1552.002 , T1552.003 , T1552.004 , T1552.005 , T1552.006 , T1552.007 , T1552.008
Злоумышленники могут попытаться найти незащищенные учетные данные в привилегиях групповой политики (GPP). GPP - это инструменты, которые позволяют администраторам создавать политики домена со встроенными учетными данными.Эти политики позволяют администраторам настраивать локальные учетные записи.(Цит. по: Microsoft GPP 2016)
Эти групповые политики хранятся в SYSVOL на контроллере домена.Это означает, что любой пользователь домена может просмотреть ресурс SYSVOL и расшифровать пароль (используя ключ AES, который был обнародован).(Цитата: Microsoft GPP Key)
Для сбора и расшифровки файла паролей из XML-файлов предпочтений групповой политики можно использовать следующие инструменты и сценарии:
* модуль post-эксплуатации Metasploit: post/windows/gather/credentials/gpp
* Get-GPPPassword(Цитата: Obscuresecurity Get-GPPPassword)
* gpprefdecrypt.py
На ресурсе SYSVOL Злоумышленники могут использовать следующую команду для перечисления потенциальных XML-файлов GPP: dir /s * .xml
https://attack.mitre.org/techniques/T1552/006
Визуализация смежных техник для T1552.006
| № | Техника |
|---|
