| Атака | Суть (кратко) | Impact | Предусловия | Команда / Пошагово | Что видит Blue Team | Инструменты & ключевые флаги |
|---|---|---|---|---|---|---|
| Kerberoasting | Запрашиваем TGS для SPN‑акка, вытаскиваем RC4‑хэш и крякаем офлайн. | Пароль сервис‑аккаунта → PrivEsc/Lateral | Любой доменный юзер; SPN с RC4 | Rubeus kerberoast /nowrap /rc4opsec → hashcat -m 13100 |
DC 4769 (RC4) всплеск TGS‑REQ | Rubeus, GetUserSPNs.py, hashcat 13100 |
| AS‑REP Roasting | Запрашиваем AS‑REP у аккаунтов без pre‑auth, получаем RC4‑хэш для офлайн‑крека. | Пароль user | Флаг DONT_REQ_PREAUTH |
Rubeus asreproast /format hashcat → hashcat -m 18200 |
DC 4768 Pre‑Auth 0 | Rubeus, GetNPUsers.py, hashcat 18200 |
| Pass‑the‑Hash | Инжектируем NTLM‑хэш в новую сессию и используем его как пароль. | Горизонтальное перемещение | NTLM‑хэш адм‑учётки; SMB/WinRM | mimikatz sekurlsa::pth ... → psexec |
4624 Type‑9 NTLM | Mimikatz, CrackMapExec |
| Pass‑the‑Ticket | Импортируем готовый Kerberos билет (.kirbi) и действуем от лица владельца. |
Горизонтальное перемещение | TGT/TGS файл | mimikatz kerberos::ptt ticket.kirbi |
4624 Kerberos без AS‑REQ | Mimikatz, Rubeus ptt |
| Golden Ticket | Генерируем поддельный TGT с хэшем KRBTGT, получаем вечный DA. | DA | NTLM‑хэш KRBTGT |
kerberos::golden ... → ptt |
4769 с фейк‑SID, огромный EndTime | Mimikatz, Rubeus golden |
| Silver Ticket | Подделываем TGS для конкретного SPN, минуя DC. | DA к сервису | NTLM‑хэш сервис‑акка | ticketer.py -spn ... → ptt |
Нет 4769; 4624 Kerberos с кастом PAC | ticketer.py, Mimikatz service ticket |
| DCSync | Притворяемся DC, запрашиваем репликацию NTDS.dit (все хэши). | Все хэши AD | Права Replicator / DA | lsadump::dcsync /user:krbtgt |
DC 4662/4673, DRSUAPI | Mimikatz, secretsdump |
| DCShadow | Регистрируем «теневой» DC и пушим произвольные атрибуты в AD. | Стелс‑attr измен | DA + SeRestore |
lsadump::dcshadow ... |
5137/5141 от fake DC | Mimikatz dcshadow |
| DLL Hijacking | Используем search‑order: подсовываем DLL, процесс грузит её. | Local exec / Persistence | Процесс ищет DLL рядом | Найти путь ProcMon → разместить DLL | ETW ImageLoad, новая DLL | ProcMon, custom DLL |
| Potato (SeImpersonate) | Через named pipe заставляем службу передать SYSTEM‑токен и империонируем. | LPE → SYSTEM | Служба с SeImpersonatePrivilege |
PrintSpoofer -i -c cmd |
4672 SYSTEM, pipe \spoolss | PrintSpoofer, JuicyPotatoNG |
| UAC Bypass (fodhelper) | Пишем команду в HKCU\…\command, autoElevate fodhelper.exe запускает её без UAC. | Admin без prompt | Лок. Admin + UAC default | reg add ..., start fodhelper.exe |
4657 reg; нет Consent.exe | UACME m19, reg one‑liner |
| Token Impersonation | Дублируем токен ADM/SYSTEM, применяем через SetThreadToken. |
PrivEsc (session) | Handle TOKEN_DUPLICATE |
token::elevate /id: |
4624 Delegation | Mimikatz, Incognito |
| LSASS Dump | Делаем дамп lsass.exe, извлекаем пароли, NTLM, DPAPI‑ключи. | Учётные данные | SYSTEM/Debug | procdump -ma lsass.exe → sekurlsa::minidump |
4688 ProcDump; AMSI alert | ProcDump, Comsvcs, Pypykatz |
| LLMNR/NBNS Poison | Отвечаем на запросы LLMNR/NBNS, жертва отдаёт NTLM‑хэш. | NTLM Hashes LAN | Одна подсеть; DNS отсутствует | Responder -I eth0 -wrf |
NBNS/LLMNR трафик → attacker | Responder, Inveigh |
SIEM фильтры: 4769 + RC4, 4624/Type‑9, 4662 DRSUAPI.