Попасть внутрь — это только половина дела. Настоящая атака начинается тогда, когда злоумышленник закрепляется. Без этого весь доступ слишком хрупкий: один перезапуск сервера, смена пароля или внимательный администратор — и всё обнуляется. Поэтому первые шаги внутри сети почти всегда тихие, незаметные и максимально похожие на рутину.

Самый очевидный вариант — создать нового пользователя. Иногда это локальная учётка с правами администратора, иногда — «технический» аккаунт в домене. Имя выбирается так, чтобы не бросалось в глаза: вроде backup_admin или svc_update. В списке из сотни похожих записей такие детали легко теряются.

Другой способ — оставить бэкдор в системе.… Читать далее…