Вроде бы ты только что достал LSASS - и вот, уже по всей сети все летает, домен в руках, пароли и токены наготове. Ну, это было в прошлом. Теперь, в 2026, скажем прямо: те старые методы, которые ещё год назад летали как по маслу, нынче уже не катят.
Mimikatz? Пожалуй, все слышали, и все его знают, но как-то так получилось, что его всё чаще ловят не только по сигнатурам, но и по поведенческим паттернам. Никто не хочет нарваться на паттерны, которые Microsoft активно и в каждом блоге выделяет, как красные флаги для безопасности.
Техника работы через Mimikatz давно отходит на второй план. А на смену ей пришли более хитрые, менее очевидные и, что важно, более трудные для детекции методы. Поэтому давай не будем о старом добром Mimikatz, а лучше погружаться в новые (и подчас опасные) подходы, которые легко могут проскользнуть через твой защитный барьер и подзаработать пару сотен миллионов баксов на компрометации.
Почему Mimikatz детектится “в лоб”
Давай не будем кривить душой - даже если ты проделал все эти чудеса с переименованием, маскировкой под обычный notepad.exe и даже загрузил в память через PowerShell (ну, ты же не дурак, правда?), - EDR тебя всё равно найдёт. И не просто так: есть куча довольно простых способов, как понять, что ты только что пошарился в LSASS.Сигнатуры? Их как грязи, и они прекрасно заливаются в SIEM, получая свою долю внимания. Простой пример: если твоя команда вызова mimikatz.exe не трогает абсолютно ничего в памяти LSASS (ну, как ты себе это представлял?), да и командная строка твоей утилиты уже упакована так, что она выглядит как заготовка для обычной служебной операции... ну, ты и сам понимаешь, это не пройдёт. В общем, всё, что попадает в LSASS, попадает под детект в реальном времени, а это значит, что ты уже на стадии получения дампа потерял половину игры. Но, что ещё хуже - поведенческие паттерны, на которые уходит наблюдение за тем, что и как ты делаешь в системе. Да, да - они тоже теперь на страже.
Поведенческие детекты - вот что на самом деле заблокировало всякую возможность спокойно взять и вытащить креды, как это было раньше. Ловушки для EDR можно расставлять не только через сигнатуры. Печально, но факт: даже если ты тщательно маскируешься, чтобы “не тронуть” привычные места, всё равно будешь попадать в сетку, если кто-то начнёт отслеживать поведение процесса, а не только его сигнатуры.
И, как говорят на Западе: “The game has changed, my friend!” И если ты думаешь, что ещё раз пустишь Mimikatz на «глаза людей» и пройдешь как герой - задумайся. Механизмы поведенческой детекции на этом уже настраивают заготовки и блокировки до того, как ты вообще успеешь что-то сделать.
Современные EDR и детекты: что реально мешает?
Не буду заставлять тебя гадать - EDR систем, которые держат не только классовую детекцию по сигнатурам, но и поведенческую аналитику, сейчас аж целый вагон и тележка. В этой игре они уже на шаг впереди, и это круто работает, особенно когда тебе нужно стоять на страже от таких маленьких, но крайне надоедливых техник, как lateral movement.Представь картину: ты, подбираешься к сети через стандартные RDP-сессии или WMI, а EDR, судя по всему, не спит. Он знает, что ты, например, будешь пытаться использовать psexec или что-то в этом роде. Но что если ты вдруг решишь взять эту самую WinRM и двигаться по сети, начиная с пользователя с минимумом прав? Вот тут тебе и наступает беда: когда ты пытаешься убежать через каналы, которые сам Windows использует для нормальной работы, то такая попытка в наше время - сразу обломается. Потому что EDR-системы стали умными и теперь начинают искать аномалии в самых привычных протоколах.
Вот тебе и разница: раньше ты мог спокойно использовать стандартные каналы, но теперь эти каналы поднадзорны. Понял, почему классические методы больше не прокатывают? За этим следят не только на уровне программы, но и на уровне самих сетевых механик.
Kerberos delegation attacks: игры с тикетами, когда Mimikatz не нужен
Если раньше атаку на Windows-сеть можно было легко настроить через пароли или дампы памяти, то теперь Kerberos и его делегирование стали важными игроками на поле атак. Когда ты знаешь, как именно работает делегирование Kerberos, можно обойти целые системы безопасности, не имея прямого доступа к ключевым данным. И как раз тут, в отличие от старых добрых Mimikatz, ты не сталкиваешься с прямым "пальцем в глаз" EDR.В статье: "Active Directory для красных" мы рассказали, как подготовиться и смоделировать реалистичные атаки на Active Directory: разбор этапов проникновения, эскалации привилегий и перемещения по сети, это поможет вам глубже понять реальные подходы злоумышленников.
Unconstrained delegation: открытые ворота для атак
Сразу оговорюсь: Unconstrained delegation - это полный трэш. Это когда сервис может делегировать свои полномочия любому пользователю, без каких-либо ограничений. То есть, в теории, один сервер может в любой момент получить права на доступ к другому сервису от имени того или иного пользователя.Почему это важно для атакующего? Всё просто. Если ты контролируешь какой-то сервис с правами unconstrained delegation, то как только кто-то с правами доступа к сети придёт на этот сервис, ты можешь использовать его сессионные данные для дальнейших атак на другие ресурсы.
Важный момент: с таким делегированием атака происходит скрыто. Ведь сам сервис может быть абсолютно легитимным, а для атакующего всё это становится удобной дверью для дальнейшего перемещения по сети. Этот подход позволяет обходить строгие политики, применяемые для ограничения прав.
Constrained delegation и S4U: делегируем по правилам
Теперь идём дальше. Constrained delegation - это куда более цивильная штука, которая ограничивает делегирование конкретным сервисам. Здесь уже нет такого беспредела, как в случае с unconstrained делегированием. Всё выглядит чисто, но с этим есть несколько лазеек, через которые можно проникнуть в сеть.Через S4U2Self и S4U2Proxy можно создать запросы от имени других пользователей, что даёт возможность быть на «подставке» для сервисов, которые используют constrained delegation. И хотя это не такой простой путь, как Unconstrained delegation, он всё равно открывает много дверей для злоумышленников, которые могут выдавать себя за других пользователей, не нарушая политик безопасности.
Resource-based constrained delegation (RBCD): делегирование через ресурс
И тут появляется новая механика - RBCD. Это когда не сервис решает, кому делегировать права, а сам ресурс, например, какой-то сервер или приложение. На первый взгляд всё выглядит вполне безопасно, ведь такому решению сопутствуют строгие правила контроля доступа.Но не всё так просто. Если атакующий знает, как работать с этим механизмом, то он может манипулировать этими правами для получения доступа. Суть RBCD в том, что права на делегирование определяются не сервисом, а целевым ресурсом, что даёт определённые преимущества, если ты способен манипулировать этими правами.
Защита от атак Kerberos delegation: как не попасть в ловушку
Для Blue Team важнейшим моментом будет ревизия делегирования в домене. Вот несколько пунктов, на которые стоит обратить внимание:Убираем Unconstrained delegation везде, где это возможно. Делегирование должно быть всегда ограничено конкретными сервисами.
- Проводим регулярный аудит по настройкам constrained delegation и S4U, чтобы исключить возможность их неправильного использования.
- Обратите внимание на RBCD. Хотя эта техника более сложная, она точно не будет “по умолчанию” видна, как стандартное делегирование. Убедитесь, что нет ненужных записей для делегирования в записи ресурсов.
В статье: "10 методов атак на Active Directory" приведён подробный разбор атак на Active Directory с примерами техник, инструментов и защиты, которые помогут углубить понимание угроз в корпоративной сети, включая анализ Kerberos‑эксплуатаций и lateral movement.
ADCS exploitation: когда сертификаты вместо паролей
Теперь давай поговорим про ещё одну технику, которая в последнее время набирает популярность. ADCS - это механизм создания и распространения сертификатов, который в случае неправильно настроенного домена может стать источником неограниченных привилегий для атакующего.ESC1–ESC8: что кроется под этим набором?
Для начала - ESC1–ESC8 - это уязвимости и конфигурационные ошибки, которые позволяют атакующему получить сертификаты с правами, которые не были бы доступны в нормальных условиях. Эти ошибки в шаблонах сертификатов, недостаток защиты CA и неправильные настройки ролей могут дать злоумышленнику возможность получить сертификаты для пользователей, для которых они не предназначены.Сертификаты - это не просто кусок данных, который можно обменять за пароли. Они дают гораздо больше: доступ к сервисам, подмену пользователя, работу с делегированием. Поэтому если атакующий имеет возможность их сгенерировать, он может получить полный контроль над системами.
Certify и Certipy: инструменты для ADCS exploitation
Сертификаты - это та самая валюта, с помощью которой атакующий может "перелететь" на другие машины, скрываясь за легитимными процессами. Тут на помощь приходят Certify и Certipy.- Certify: это инструмент, который помогает автоматизировать поиск уязвимостей в ADCS. Он находит ошибки в настройках, а также помогает атакам на неправильные шаблоны сертификатов.
- Certipy: это ещё один инструмент для эксплуатации ADCS, который делает акцент на создании сертификатов, выдаваемых с нужными правами, а также на получении доступа к сертификатам через уязвимости в CA.
Shadow credentials (msDS-KeyCredentialLink): новый способ захвата
Есть ещё интересная штука, которая всё чаще появляется в арсенале атакующих - Shadow Credentials. Это когда злоумышленник манипулирует атрибутом msDS-KeyCredentialLink, который отвечает за связывание ключей с объектами. Атака на этот механизм позволяет получить доступ к ключам, не нарушая привычных механизмов аутентификации. То есть, атакующий может подменить или сгенерировать новый ключ для определённого объекта без необходимости вносить изменения в его пароль.Для защиты от этого нужно настроить мониторинг за изменениями в msDS-KeyCredentialLink и следить за любыми изменениями в ключах, которые связаны с критически важными учётными записями. Такой мониторинг поможет быстро выявить попытки манипулирования.
Living-off-the-land техники: не касаемся инструментов, используем штатное ПО
Если ты думаешь, что для успешной латералки нужно обязательно использовать какие-то супер хакерские бинарники, то пора бы пересмотреть свои взгляды. В 2026 году, чтобы передвигаться по сети, атакующим вполне достаточно штатных инструментов. Ты можешь не тратить время на создание кастомных payload'ов или загрузку сложных утилит. Главное - научиться использовать то, что уже есть в системе, чтобы обходить защиту.Именно такие техники получили название Living-off-the-land (LoL). Когда атакующий действует через стандартные Windows-инструменты, использует протоколы и сервисы, которые и так разрешены, и делает это так, что никто и не заметит.
Вот тебе список тех засад, которые атакующие с удовольствием используют:
- WMI: Всем давно известно, что WMI - это не только инструмент для управления системой, но и отличная альтернатива для удалённого выполнения кода. Причём ты не выделяешься - ведь это штатный механизм, который используется для мониторинга и управления системой.
- WinRM: Стандартный механизм для удалённого администрирования, но кто будет подозревать в нём злоумышленника? WinRM остаётся скрытым и часто незаметным каналом для удалённого выполнения команд.
- DCOM: Что-то давнее, но проверенное. DCOM позволяет запускающие процессы передавать команды на удалённые машины, используя стандартные RPC-протоколы. Вроде бы всё чисто, но именно через DCOM можно сделать серию атак без всякого шума.
- Scheduled tasks: Создание планировщика задач - это лёгкий способ заставить машину выполнить твою команду без дополнительной загрузки или создания файлов. И, да, за этим почти никогда не следят - ты просто добавляешь задачу в планировщик, и она выполняется, как только настал нужный момент.
WMI и WinRM: стандартные каналы для скрытых операций
Когда тебе нужно попасть в чужую систему и сделать это через инструменты, которые уже есть на машине, WMI и WinRM - твои лучшие друзья.- WMI: Основной плюс WMI в том, что его используют для удалённого администрирования и мониторинга. Значит, можно получить доступ к данным, не вызывая подозрений. WMI позволяет запускать командлеты PowerShell или делать запросы к системе через WMIFilter. Это даёт возможность запускать команды на удалённых системах, не оставляя следов в традиционных системах мониторинга.
- WinRM: Похож на WMI, но используется для выполнения команд через протоколы HTTP/HTTPS. Учитывая, что на большинстве серверов WinRM настроен по умолчанию, его можно использовать для выполнения команд на удалённых машинах. Да, для этого нужно правильно настроить права, но это всё же один из самых тихих каналов для латералки.
DCOM: старый, но работающий
DCOM (Distributed Component Object Model) - это ещё один способ обойти все системы защиты, который использует старые добрые технологии для удалённого выполнения команд. DCOM позволяет работать с удалёнными объектами, которые используют порты для подключения через RPC (Remote Procedure Call).Для атакующего DCOM - это суперудобный способ передавать команды на удалённые машины, поскольку он находит путь через стандартные порты RPC, которые как раз и открыты для выполнения легитимных команд.
Для детектирования этих атак важно отслеживать не только сетевые соединения, но и сами события DCOM - какие процессы запускались, с каких источников шли команды. Тебе нужно следить за активностью в Event ID 10016, который может подсказать о попытках выполнить команды через DCOM.
Scheduled tasks abuse: перезапуск системы, не тронув ничего
Не любишь "загрузку" системы payload'ами и бинарниками? Ну, тогда тебе в Scheduled Tasks. Ты просто добавляешь задачу, которая будет выполняться, когда захочешь, не нагружая систему, не вмешиваясь в её работу. И никто не будет этим обеспокоен, потому что Scheduled Tasks - это функция, на которую никто не обращает внимания.Запустить PowerShell-скрипт или бинарник в заданное время, без всякого вмешательства и с минимальными следами - что может быть проще? К тому же, ты можешь легко синхронизировать этот запуск с тем, что в системе уже есть, сделав всё это совершенно невидимым для большинства детекторов.
Детекция и артефакты: как поймать латералку, если ты не видишь её прямо?
Задача для Blue Team не из лёгких: как поймать атакующего, если он почти не оставляет следов? Все эти техники латералки вроде WMI, WinRM, DCOM, Scheduled Tasks выглядят как нормальные операции в Windows-среде. Почти всё это - штатные функции, которые админы используют каждый день для управления машинами. Да и к тому же, злоумышленники прекрасно понимают, как их обойти. Так как же не дать им шанса?Вопрос тут не в том, чтобы ждать, когда атакующий “сделает ошибку” или оставит явные следы. Это почти не случается. Важно настроить мониторинг так, чтобы всё происходящее в системе можно было связать с аномальной активностью. Корреляция - вот что поможет понять, где и как злоумышленник перемещается, не используя каких-либо явно опасных инструментов.
Какую информацию мы хотим получать?
Анализировать нужно несколько вещей, и в первую очередь - сетевые соединения и процессные деревья. Всё начинается с того, что ты отслеживаешь процессы, запущенные в системе, их командные строки, а также, конечно, файлы, с которыми эти процессы работают. Когда ты видишь, что какой-то процесс, который не должен был бы быть запущен, работает с чем-то подозрительным, - это первый звоночек.Также важны события безопасности. Например:
- 4624 (logon event): кто вошёл в систему и каким методом.
- 4688 (process creation): какие процессы были запущены и с какими параметрами.
- 5140 (SMB connection): кто подключался к сетевым ресурсам.
Артефакты латералки: на что обращать внимание
Тут всё зависит от техники, но мы можем выделить несколько классических артефактов, на которые стоит смотреть.- Запросы через WinRM или WMI: Если на сервере, который не используется для удалённого администрирования, начинаются удалённые подключения через WinRM, это может быть индикатором того, что кто-то использует этот сервис для перемещения по сети. Важно отслеживать подключения по HTTP или HTTPS - эти каналы могут быть легко использованы для скрытого удалённого выполнения команд.
- DCOM: Процессы, запускающиеся через DCOM, могут быть трудны для детекции, потому что DCOM - это встроенный компонент Windows. Но, тем не менее, тебе стоит мониторить сетевые подключения, связанные с DCOM, особенно на портах RPC (например, 135). Если на этих портах появляются подозрительные соединения, это повод обратить внимание на активность в сети.
- Запуск планировщика задач: Когда вдруг в логах появляется новая задача, которая запускает PowerShell или CMD на сервере, на который ты не ожидал получить доступ, стоит сразу пойти в анализ. Обрати внимание на события, связанные с задачами, которые запускаются в нерабочее время или с нетипичными аргументами командной строки.
Использование Sysmon для мониторинга латералки
Если у тебя настроен Sysmon, это уже золотая середина для отслеживания латералки. В частности, следующие события будут полезны для анализа активности злоумышленников:- Event ID 1 (Process Creation): это важный момент, когда нужно отслеживать командную строку каждого запускаемого процесса. Чаще всего злоумышленники скрывают свои действия, изменяя параметры командной строки, и Sysmon позволяет отловить такие аномалии.
- Event ID 3 (Network Connection): показывает все сетевые соединения, что важно для мониторинга WMI или WinRM-сессий. Если ты видишь подключение к другим машинам, особенно с неизвестных IP-адресов, это уже повод насторожиться.
- Event ID 11 (FileCreate): если процессы начинают создавать или изменять файлы в нетипичных директориях, это уже может быть индикатором того, что что-то идёт не так.
Hardening recommendations
Собственно, если хочешь защититься от латералки, важно не только детектировать её, но и минимизировать её возможности. Вот несколько рекомендаций для того, чтобы закрыть все лазейки для злоумышленников:- Закрыть все непользуемые порты. Не нужно держать открытыми порты, которые используются для WinRM или WMI, если они не нужны. Эти каналы - отличные инструменты для перемещения по сети, если их не ограничивать.
- Ограничение прав доступа. Латералка часто возникает благодаря избыточным правам доступа на сети. Применяй принцип наименьших привилегий: каждому пользователю или процессу доступ только к тем ресурсам, которые ему реально необходимы.
- Ужесточение политик для задач планировщика. Не стоит позволять всем пользователям создавать задачи на сервере. Разрешения на создание задач в планировщике должны быть ограничены только админами.
- Мониторинг изменений в AD. Латералка через AD - это крайне мощный способ, и её нельзя недооценивать. Убедись, что у тебя настроен аудит для всех важных изменений в Active Directory, включая делегирование и управление правами.
- Контроль за изменениями в ключах и сертификатах. Используй LAPS для управления локальными админами, а также следи за изменениями в сертификатах через ADCS. Мониторинг таких изменений поможет вовремя выявить возможные уязвимости.
Заключение: как держать защиту на высоте в 2026 году
В 2026 году атаки на Windows-домены становятся всё более сложными и изощрёнными. Техники lateral movement, будь то через DPAPI abuse, Kerberos delegation или living-off-the-land, предлагают атакующим массу способов обходить современные системы защиты и двигаться по сети, не оставляя явных следов.Что делать? Во-первых, не забывай, что защита от латералки - это не просто борьба с правильными инструментами, как Mimikatz. Это борьба с подходом, с поведением, с идеей. Когда атакующие могут использовать штатные каналы, такие как WinRM, WMI, DCOM или Scheduled Tasks, для перемещения по сети, то классическая защита перестаёт быть достаточной.
Для Blue Team это означает, что нужно быть всегда на шаг впереди. Защита должна быть проактивной: мониторинг аномалий, корреляция логов и постоянная проверка настроек безопасности - вот что действительно имеет значение. Задействование инструментов вроде Sysmon и использование более сложных методов мониторинга, таких как анализ сетевых соединений и детектирование подозрительных процессов, помогает выявлять латеральные перемещения, которые прошли бы незамеченными раньше.
Для Red Team важно понимать, что защита тоже эволюционирует, и старые трюки могут больше не сработать. Чтобы обходить защиту, необходимо использовать новые подходы, которые обходят поведенческие детекты и встраиваются в штатные механизмы Windows.
И в конечном итоге, если ты хочешь, чтобы твоё сетевое окружение оставалось безопасным, нужно принимать всё это как факт. Hardening систем, настройка мониторинга и ревизия сетевых протоколов - вот что обеспечит эффективную защиту и поможет не стать жертвой современных атак. С каждым годом атакующие становятся всё более умными, и защита должна развиваться с тем же темпом.
