Написали гайд по выявлению фактов эксплуатации одной из самых опасных уязвимостей последних лет — CVE-2020-1472, или Zerologon.
Она позволяет злоумышленнику захватить контроллер домена даже без наличия какого-либо пользовательского аккаунта. Для эксплуатации уязвимости атакующему достаточно подключиться к корпоративной сети.
В процессе исследования мы разработали различные методы обнаружения эксплуатации Zerologon:
▪️по событиям журналов аудита Windows;
▪️по сетевому трафику;
▪️при помощи YARA-правил.
Данные методы можно использовать как по отдельности, так и вместе, что позволит не только детектировать факты эксплуатации уязвимости, но и повысить скорость классификации инцидента.
Подробнее о каждом из способов детектирования читайте в нашем материале.
Она позволяет злоумышленнику захватить контроллер домена даже без наличия какого-либо пользовательского аккаунта. Для эксплуатации уязвимости атакующему достаточно подключиться к корпоративной сети.
В процессе исследования мы разработали различные методы обнаружения эксплуатации Zerologon:
▪️по событиям журналов аудита Windows;
▪️по сетевому трафику;
▪️при помощи YARA-правил.
Данные методы можно использовать как по отдельности, так и вместе, что позволит не только детектировать факты эксплуатации уязвимости, но и повысить скорость классификации инцидента.
Подробнее о каждом из способов детектирования читайте в нашем материале.