Попасть внутрь — это только половина дела. Настоящая атака начинается тогда, когда злоумышленник закрепляется. Без этого весь доступ слишком хрупкий: один перезапуск сервера, смена пароля или внимательный администратор — и всё обнуляется. Поэтому первые шаги внутри сети почти всегда тихие, незаметные и максимально похожие на рутину.
Самый очевидный вариант — создать нового пользователя. Иногда это локальная учётка с правами администратора, иногда — «технический» аккаунт в домене. Имя выбирается так, чтобы не бросалось в глаза: вроде backup_admin или svc_update. В списке из сотни похожих записей такие детали легко теряются.
Другой способ — оставить бэкдор в системе. Это может быть служба, задание в планировщике или небольшой скрипт, который запускается при старте. Всё выглядит как штатный процесс, но при этом обеспечивает надёжный вход, даже если основной канал доступа закроют.
Иногда закрепление вообще невозможно отличить от обычной работы админов. Используются те же самые инструменты и процессы: добавление прав через групповую политику, сохранение легитимных токенов доступа, настройка служебных подключений. Всё выглядит так, словно это обычное обслуживание инфраструктуры. И именно в этом коварство — отличить атаку от рутины почти невозможно.
MITRE ATT&CK выделяет такие техники как T1136 – Create Account и T1547 – Boot or Logon Autostart Execution. По сути, это разные способы превратить разовый вход в устойчивое присутствие.
После этого злоумышленник перестаёт быть случайным «гостем». Он превращается в тихого жильца, который обустраивает себе место внутри сети. Никуда не спешит, наблюдает, проверяет границы и собирает нужную информацию. А настоящие шаги вперёд он сделает только тогда, когда будет уверен, что его присутствие останется незамеченным.
Добавить комментарий