logo
Хроники кибер-безопасника
Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
Поиск
Вход
Регистрация
logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
Подписаться
11.08.2024 10:13
logo Хроники кибер-безопасника

Возвращение утраченных позиций: Восстановление после атак LOTL

В ‎случае‏ ‎обнаружения ‎факта ‎компрометации ‎необходимо ‎применение‏ ‎защитных ‎контрмер.

Действия‏ ‎немедленного‏ ‎реагирования

📌Сброс ‎учётных ‎данных‏ ‎для ‎привилегированных‏ ‎и ‎непривилегированных ‎учётных ‎записей‏ ‎в‏ ‎пределах ‎границ‏ ‎доверия ‎каждой‏ ‎скомпрометированной ‎учётной ‎записи.

📌Принудительный ‎сброс ‎пароля,‏ ‎отзыв‏ ‎и ‎выдача‏ ‎новых ‎сертификатов‏ ‎для ‎всех ‎учётных ‎записей ‎и‏ ‎устройств.

Действия,‏ ‎относящиеся‏ ‎к ‎среде‏ ‎Windows:

📌При ‎подозрении‏ ‎на ‎доступ‏ ‎к‏ ‎Контроллеру ‎домена‏ ‎(DC) ‎или ‎Active ‎Directory ‎(AD)‏ ‎сброс ‎паролей‏ ‎всех‏ ‎локальных ‎учётных ‎записей,‏ ‎включая ‎Guest,‏ ‎HelpAssistant, ‎DefaultAccount, ‎System, ‎Administrator‏ ‎и‏ ‎krbtgt. ‎Учётную‏ ‎запись ‎krbtgt,‏ ‎которая ‎обрабатывает ‎запросы ‎на ‎регистрацию‏ ‎Kerberos,‏ ‎следует ‎дважды‏ ‎сбросить ‎для‏ ‎обеспечения ‎безопасности ‎из-за ‎истории ‎с‏ ‎двумя‏ ‎паролями.

📌Если‏ ‎есть ‎подозрение,‏ ‎что ‎файл‏ ‎ntds.dit ‎подвергался‏ ‎эксфильтрации,‏ ‎требуется ‎сброс‏ ‎пароля ‎всех ‎пользователей ‎домена.

📌Просмотр ‎и‏ ‎коррекция ‎политики‏ ‎доступа‏ ‎для ‎временного ‎отзыва‏ ‎или ‎уменьшения‏ ‎права ‎доступа ‎для ‎затронутых‏ ‎учётных‏ ‎записей ‎и‏ ‎устройств.

📌Сброс ‎учётных‏ ‎данных ‎учётной ‎записи ‎без ‎повышенных‏ ‎прав‏ ‎доступа: ‎если‏ ‎доступ ‎атакующего‏ ‎ограничен ‎правами, ‎сброс ‎соответствующих ‎учётным‏ ‎данным‏ ‎ключа‏ ‎доступа ‎и‏ ‎отслеживание ‎дальнейших‏ ‎признаков ‎несанкционированного‏ ‎доступа,‏ ‎особенно ‎к‏ ‎учётным ‎записям ‎администраторов.

Аудит ‎конфигурации ‎сети‏ ‎и ‎устройств

Аудит‏ ‎сетевых‏ ‎устройств ‎и ‎пограничных‏ ‎устройств: ‎проверка‏ ‎наличия ‎признаков ‎несанкционированных ‎или‏ ‎вредоносных‏ ‎изменений ‎конфигурации.‏ ‎Если ‎изменения‏ ‎обнаружены:

📌 Требуется ‎изменения ‎всех ‎учётных ‎данных,‏ ‎используемых‏ ‎для ‎управления‏ ‎сетевыми ‎устройствами,‏ ‎включая ‎ключи ‎и ‎строки, ‎обеспечивающие‏ ‎функции‏ ‎сетевого‏ ‎устройства.

📌 Обновление ‎всех‏ ‎прошивок ‎и‏ ‎программного ‎обеспечения‏ ‎до‏ ‎последних ‎версий.

Использование‏ ‎инструмента ‎удалённого ‎доступа

📌 Минимизация ‎удалённого ‎доступа‏ ‎и ‎контроль:‏ ‎следование‏ ‎рекомендациям ‎по ‎обеспечению‏ ‎безопасности ‎средств‏ ‎и ‎протоколов ‎удалённого ‎доступа,‏ ‎включая‏ ‎рекомендации ‎по‏ ‎безопасности ‎программного‏ ‎обеспечения ‎удалённого ‎доступа ‎и ‎безопасному‏ ‎использованию‏ ‎PowerShell.

#LOTL #хроникикибербезопасника #заметки #lolbin #lolbins
Предыдущий Следующий
Все посты проекта

Контакты

Поделиться

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.
Добавить карту
0/2048
Отменить