Традиційна робота над помилками після навчань\змагань.
Попередня робота над помилками тут і тут.

Кольорова складова лишається незмінною:

Зелене – це те, що було зроблено добре і вчасно
Червоне – те, що точно можливо було зробити інакше, або в інший час
Синє – ідеї, які з’явились вже після навчання і не були протестовані.

1. Використання Microsoft Safety Scanner Ця ідея була синьою в попередній роботі над помилками і стала зеленою в CC23. Додаткова інформація є на сайті Microsoft
Результати роботи Microsoft Safety Scanner наведені нижче:

• • “Червоні” підкинули нам дещо цікаве –
  • Та попсували роботу Defender-а – Варто зазначити, що навіть відновлений Defender працював не дуже через те, що все потенційно “цікаве” для перевірки було додано в Exclusions –

Що стосується логування Microsoft Safety Scanner, то логи знаходяться тут – C:\Windows\debug\msert

2. Використати Autoruns та PersistenceSniper.  Autoruns та PersistenceSniper вже не лишились без уваги і допомогли розібратись з DLL, що фактично була Mimikatz та підміною Narrator –

3. Включити NLA для RDP. було хорошою ідеєю, а от не включити LSA protection було поганою ідеєю. Більше інформації  тут

4. Провести асесмент інфраструктури з допомогою Ping Castle лишається незмінно хорошою ідеєю.

Для вирішення проблемного делегування-

було корисно згадать про Backdooring AdminSDHolder for Persistence

5. Використати THOR Lite було теж чудовою ідеєю

6. Не перевірити файлові дозволи на папці SYSVOL – погано. Наступного разу треба буде перевірити.

7. Встановити оновлення ОС – було зроблено. Але приорітет цієї задачі має бути вищий.

8. Встановити ESET з централізованою консоллю керування. Цей пункт останній, т.я. ESET не зразу встановився на контролери домену. Прииною була не оновлена операційна система.

Звичайно, не все прошло ідеально і дуже не вистачало visibility з боку мережі та кореляції подій, але це вже записано в “домашнє завдання”.