Kompromitacja Active Directory i ekstrakcja sekretów DPAPI. Analiza techniczna prelekcji Pauli Januszkiewicz na INSECON
· 5 min aby przeczytać
Współczesne ataki na infrastrukturę tożsamości rzadko kończą się na jednorazowym włamaniu. Zgodnie z danymi wywiadowczymi (FBI, IBM), średni czas przebywania grupy APT wewnątrz sieci przed wykryciem (Dwell Time) wynosi około 200 dni. Atakujący wykorzystują ten czas na mapowanie zasobów, eskalację uprawnień i głęboką implementację mechanizmów persystencji. Poniższy materiał stanowi techniczną analizę anatomii ataku na poświadczenia Windows oraz rygorystycznego frameworku reagowania na incydenty (Incident Response) dla środowisk Tier 0, bazując na dekonstrukcji prelekcji Pauli Januszkiewicz (CQURE) z konferencji INSECON.