#kerberos #potato #edr Пара статей на тему скрытности действий через Cobalt Strike в контексте Elastic EDR на примере киллчейна aspx upload -> SeImpersonatePrivilege -> lsass dump. https://sokarepo.github.io/redteam/2024/01/04/increase-your-stealth-capabilities-part1.html https://sokarepo.github.io/redteam/2024/01/04/increase-your-stealth-capabilities-part2.html Если кратко: - Используется кастомный лоадер https://github.com/xforcered/BokuLoader - При исполнении нагрузки aspx создается не новый процесс, а инжект в текущий - Повышение через модифицированный CoercedPotato в Reflective DLL - Альтернативное повышение через S4U2Self с последующим доступом к WinRM. - Как альтернатива дампу lsass дампается LSA через https://github.com/RalfHacker/Kerbeus-BOF. И далее тикеты кербероса используются для дальнейшего продвижения по сети.