Опасностью для учреждений являются атаки на Windows. В этом случае, на GitHub высвечиваются коды инструментов, которые используются хакерами. Ниже описаны существующие способы атаки в самой инфраструктуре и способы их уничтожения.
На властные учреждения европейских стран, Саудовской Аравии проводились атаки команды APT MuddyWater. В данных действиях использовались три механизма: Impacket, CrackMapExec и Koadic.
Компоненты используются на любых ступенях атаки, которые возможны после пресечения периметра. Малварь сложно уничтожить на этой ступени. Необходимо действовать в одном из двух направлений: либо искать следы компрометации в сети, либо использовать инструменты в целях выявления злотворных действий атак.
Вышеперечисленные три инструмента могут выполнять ряд интересных задач: передавать файлы, взаимодействовать с реестром, выполнять действия удаленно.
Благодаря Impacket, вредители получают множество модулей, которые активно используются в атаках. Metasploit применяет модули Impacket внутренне. При этом утилиты дистанционно совершают выполнение команд, получают из хранилища учетные данные. Следовательно, обнаружение активности инструментов обеспечивает выявление производных.
CrackMapExec выполняет функции Impacket, а также дает возможность получить пароли, внедрить системы для удаленного выполнения разных задач.
Koadic был обнаружен в 2017 году и отличается своей специфичностью: система использует набор библиотек, которые содержатся в Windows.
Количество выполняемых задач в Impacket большое: начиная с осмотра AD, отбора информации с определенных серверов и заканчивая возможностями получения учетной информации (атаки, взыскание с контролера домена страниц).
Для воздействия удаленно системе понадобятся учетная информация.
Своим прицелом домен Secretsdump выбирает машинные устройства потребителей и контролеры сервера. Он засекается на любых ступенях атакующего воздействия из-за возможности взимать дубликаты разделов хранилищ SAM, NTDS.dit.
Система начинает свою работу с аутентификации благодаря SMB, которая требует пароль пользователя или его хеш для произвольного начала атаки. Потом система получает доступность к SCM, информацию о реестре, который дает возможность получить данные в нужных ему областях через SMB.
После получения ключа, Impacket сохраняет полученную информацию в файл.
Следовательно, выявить такую деятельность в интернете возможно только по запросам к отдельным разделам реестра, благодаря специальным именам, командам.
В журнале событий Windows данный модуль также оставляет следы своего воздействия.