Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Тактика бокового движения (Lateral Movement) включает методы получения злоумышленником доступа и контроля над удаленными системами, подключенными к атакованной сети, а так же, в некоторых случаях, запуска вредоносных инструментов на удаленных системах, подключенных к атакованной сети. Боковое перемещение по сети позволяет злоумышленнику получать информацию из удаленных систем без использования дополнительных инструментов, таких как утилиты удаленного доступа (RAT).

Описание уязвимости

Передача билета (Pass the ticket, PtT) - это метод аутентификации в системе с использованием билетов Kerberos без доступа к паролю учетной записи. Аутентификацию Kerberos может быть использована в качестве первого шага для бокового перемещения в удаленную систему.
Действительные билеты Kerberos для действительных учетных записей могут быть скомпрометированы. В зависимости от уровня доступа злоумышленника могут быть получены билеты на обслуживание пользователя или билет на предоставление билетов (TGT). 
Серебряный билет (Silver Ticket) можно получить для служб, которые используют Kerberos в качестве механизма аутентификации и используются для создания билетов для доступа к этому конкретному ресурсу и системе, в которой размещен ресурс. 
Золотой билет (Golden Ticket) можно получить для домена с помощью хэша NTLM учетной записи службы распространения ключей KRBTGT, который позволяет генерировать TGTS для любой учетной записи в Active Directory.
Злоумышленник может “передать билет”, используя украденные билеты Kerberos, чтобы перемещаться в боковом направлении в среде, минуя обычный контроль доступа к системе.

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Локальная сеть
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentialityCвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Целостность ? Целостность / integrityCвойство сохранения правильности и полноты активов.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушительНаходящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель д...
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушительПод внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы. К внутренним...

Связанные защитные меры

Ничего не найдено