Active Directory
LLMNR/NBT-NS poisoning, Kerberoasting, AS-REP roasting, DCSync, неправильно настроенные ACL и misconfigured GPO.
Internal Audit · /cyber-security/internal-auditAD · KERBEROS · SOC
Глазами хакера, который уже внутри
Имитируем атаку из позиции «assumed breach»: что сможет сделать злоумышленник, попав внутрь периметра? Active Directory, Kerberoasting, lateral movement, оценка зрелости SOC.
С отчётом по технике атак (Mitre ATT&CK) и опциональным Purple Team воркшопом для SOC.
DEMO · #IA-2204
activeAD attack chain · corp.example.com
Step 1LLMNR poisoning · 2 хеша
Step 2Kerberoasting · 1 сервис
Step 3DCSync · DA получен
Detected by SOC0 / 3
Time to DA47 мин
Что мы проверяем
Active Directory, доступ, сегментация и SOC
Полный цикл от первой компрометации до доменного админа — с фиксированием каждого шага.
Управление доступом
Эскалация привилегий, переиспользование паролей, забытые сервисные учётки, чрезмерные права у обычных пользователей.
Сегментация сети
Проверка границ между VLAN, зонами и сегментами. Доступ к критичным системам из пользовательского сегмента.
Зрелость SOC
Видят ли вас SOC и SIEM? Реагируют ли алерты на типовые техники Mitre ATT&CK? Время до детектирования и реакции.
Техники
Mitre ATT&CK — от initial access до exfiltration
Initial foothold
Имитируем точку проникновения: скомпрометированная учётка обычного пользователя или фишинг с устройством внутри сети.
Discovery & recon
Поиск критичных систем, шар, сервисных учёток, доменных контроллеров и пути к target assets.
Lateral movement
Pass-the-Hash, Pass-the-Ticket, RDP-hopping, использование скомпрометированных кэшей и токенов.
Persistence & exfil
Закрепление в инфраструктуре, скрытые backdoor, имитация утечки данных — всё для оценки реальной готовности SOC.
Для кого подходит
Внутренний аудит нужен зрелым командам с собственной инфраструктурой
/ 01
Корпоративный IT
Active Directory, домены, сегментация сети, серверы Windows и Linux, RDP-доступы, доменные контроллеры.
/ 02
Зрелые SaaS
Production-окружения, внутренние сервисы, доступ инженеров, отдельные среды для разработки и stage.
/ 03
Финтех и финансы
Регуляторные требования к внутреннему контролю, разделение обязанностей, аудит привилегированного доступа.
/ 04
Команды с SOC
Проверка зрелости детектирования: видит ли SIEM ваши действия, реагирует ли SOC, как быстро эскалирует.
Как проходит
Пять шагов от заявки до отчёта
1
Заявка и scope
Согласуем границы: сеть, домены, исключения, тестовые окна, эскалации.
2
NDA и доступы
Подписываем NDA, договариваемся об учётной записи начального уровня (assumed breach).
3
Активная фаза
Имитация действий атакующего внутри периметра. Эскалация привилегий и lateral movement.
4
Покрытие SOC
Оцениваем что увидел SIEM, как реагировал SOC, какие алерты сработали и за сколько.
5
Отчёт + workshop
Передаём отчёт с timeline атак, рекомендации по hardening, опционально — Purple Team воркшоп.
Заявка
Запросить внутренний аудит
Опишите вашу инфраструктуру — масштаб, формат работы, фокус. Детали обсуждаем в защищённом чате DevBay.
- NDA + изоляция тестовой среды
- Имитация атак по Mitre ATT&CK
- Отчёт с timeline и рекомендациями
- Опциональный Purple Team воркшоп
Расскажите про инфраструктуру
После отправки формы создаётся диалог во внутреннем чате — там продолжаем обсуждение деталей.
Готовы узнать, что увидит атакующий внутри?
Опишите инфраструктуру — соберём scope, подпишем NDA и проверим, насколько ваш периметр готов к взлому изнутри.