Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Восстановление паролей из базы данных домена Active Directory (NTDS.dit)

База данных домена Active Directory хранится в файле NTDS.dit который размещается на контроллерах домена по пути %SystemRoot% \ NTDS \ Ntds.dit
Из  NTDS.dit можно получить всю информацию о доменной инфраструктуре: пользователи, устройства и права доступа. 
Но более критично что в базе NTDS.dit хранятся хеши паролей от учетных записей, которые можно взломать через брутфорс по словарям или прямым перебором.
NTDS может быть найден злоумышленниками не только на активных контроллерах домена но и в резервных копиях.

Каталоги

Техники ATT@CK:
T1003.003 OS Credential Dumping: NTDS
Adversaries may attempt to access or create a copy of the Active Directory domain database in order to steal credential informat...