Пост-эксплуатация в Windows AD - латеральное движение и удержание контроля 1. Цель пост-эксплуатации • Получить привилегии домена или доступ к критичным данным. • Расширить доступ на смежные хосты и сервисы. • Сохранить скрытный доступ для дальнейшей активности. 2. Основные векторы эскалации привилегий • Kerberoasting - извлечение TGT/TGS и брутфорс SPN-паролей. • Overpass/Pass-the-Hash - использование хэшей NTLM для аутентификации. • Golden Ticket - создание поддельных TGT при компрометации KRBTGT. • Credential dumping - Mimikatz, LSASS-дампы, WDigest, DPAPI-ключи. • Unconstrained delegation и Kerberos delegation misconfigs. 3. Латеральное движение - методы • SMB/NTLM relay и smbexec для выполнения команд на удалённых хостах. • PsExec / WMI / WinRM - распространённое выполнение удалённых задач. • RDP с перебором/подбором учёток или использованием украденных токенов. • Exploits в службах (MSRPC, MS17-010 и др.) для распространения без явных учёток. • Abuse of AD tools - PowerShell Remoting, Invoke-Mimikatz, BloodHound-автоматизация. 4. Persistence (удержание доступа) • Создание служебных учёток с правами и скрытые привилегии. • Scheduled Tasks / Windows Service с командной строкой запуска. • Golden/Silver Tickets и skeleton key для долгосрочного доступа. • Shadow admins - добавление в AD-группы с непрозрачными правами. • Web shells и backdoors в внутренних web-приложениях. 5. Инструменты и подходы (практически) • BloodHound + Neo4j - карта привилегий и пути эскалации. • Mimikatz / Rubeus / Kekeo - Kerberos и credentials tooling. • Impacket (psexec.py, smbrelayx) - автоматизация lateral. • CrackMapExec - оркестрация атак по подсетям. • PowerView / SharpHound - сбор AD-информации для построения графа. 6. Индикаторы компрометации (SOC-фокус) • Необычные Kerberos запросы (TGS requests с новыми SPN). • Неожиданные LDAP-запросы и массовые сессии от учеток. • Создание новых привилегированных аккаунтов вне обычного процесса. • Запуски Mimikatz-подобных процессов и доступ к LSASS. • Необычные привязки сервисов/слушателей на внутренних хостах. 7. Быстрые контрмеры и рекомендации • Внедрить LAPS и минимизировать локальные admin-пароли. • Ограничить delegation и удалить unconstrained delegation. • Включить и мониторить Kerberos-аудит (AS/ TGS requests). • Защитить LSASS (Credential Guard, LSA protection) и сегментировать сеть. • Минимизировать права сервисных учёток и регулярно ротировать KRBTGT. • Внедрить EDR с обнаружением process-injection, dump-access и lateral tools.