Mimikatz - вредоносная репликация

Вредоносная репликация позволяет злоумышленнику реплицировать сведения о пользователе с использованием учетных данных администратора домена или их эквивалентов. Вредоносная репликация фактически позволяет злоумышленнику удаленно собирать учетные данные. Очевидно, что самой критически важной учетной записью при сборе является krbtgt, так как ее основной ключ используется для входа во все билеты Kerberos.

Два распространенных набора инструментов для взлома, которые позволяют предпринять вредоносную репликацию, — это Mimikatz и Impacket от Core Security.

Mimikatz lsadump::dcsync

На компьютере VictimPC в контексте SamirA выполните следующую команду Mimikatz:

mimikatz.exe "lsadump::dcsync /domain:contoso.azure /user:krbtgt" "exit" >> c:\temp\ContosoDC_krbtgt-export.txt

Мы реплицировали данные учетной записи krbtgt в файл c:\\temp\\ContosoDC_krbtgt-export.txt.

Обнаружение вредоносной репликации в Defender для удостоверений

На портале Defender для удостоверений убедитесь, что SOC теперь известно о вредоносной репликации, которую мы смоделировали с использованием VictimPC.

• 🔴 Отказ от ответственности

• 🦋 Слитая информация - @Leakinfo
• 🎭 Наша группа > - Точка входа
• ❤️ Поблагодарить Bitcoin