⚡️Обнаружение вредоносных Powershell-скриптов

Часто при разведке во внутренней сети пентестеры и хакеры используют набор PS-скриптов, чтобы скрыть свои действия под легитимными. Любому цифровому криминалисту крайне важно различать действия злоумышленника от действий администратора🖥

📣Ссылка на статью:
https://adsecurity.org/?p=2604

#forensics #soc #windows

🌐Новый вектор принудительной аутентификации сливает NTLM-токены Windows

💻Специалисты Check Point выявили вектор, с помощью которого хакеры могут слить токены NT LAN Manager пользователя Windows

💻Для эксплуатации данного метода жертве достаточно отправить файл в формате Microsoft Access, который будет использовать привязку к удаленной таблице SQL

💻Функция связанных таблиц в Access способствует утечке хешей через файл .accdb с ссылкой на сторонний SQL-сервер. Для слива используется механизм Object Linking and Embedding (OLE)

#itnews #infosec #windows