Помогите с сеткой

[mock]

Компания США, занимается пожаротушением
У меня 4 бота в домене, все юзерки
В процессах uesAgentService. Crowd Strike?
Как повыситься? Кто возьмется?

 

[tenac1ous]

Компания США, занимается пожаротушением
У меня 4 бота в домене, все юзерки
В процессах uesAgentService. Crowd Strike?
Как повыситься? Кто возьмется?

На каких машинах локал-админы есть вообще? Проверь под чьими правами крутится агент, можешь также просканировать реестр и конфиги на наличие исключений

 

[mock]

На каких машинах локал-админы есть вообще?

Все юзерки(

Проверь под чьими правами крутится агент

Гляну, боты пока не в сети. Правильно я понимаю, что пользовательский агент для мониторинга нужен?

можешь также просканировать реестр и конфиги на наличие исключений

Какие именно? Не совсем понял

Кто с таким работает? Отпишите в ПМ

 

[tenac1ous]

Все юзерки(


Гляну, боты пока не в сети. Правильно я понимаю, что пользовательский агент для мониторинга нужен?


Какие именно? Не совсем понял

Кто с таким работает? Отпишите в ПМ

Да, именно так. Этот агент работает от имени пользователя (user context) и отслеживает все его действия: что запускает, куда ходит в сети, какие команды выполняет. По поводу регистра то стоит искать ветки, где у вашей пользовательской группы (Authenticated Users, Users) есть права на запись. Если найдете такой ключ, который пытается запустить что-то от имени админа (например, через HKLM), это может быть вектором для эскалации.

EDR-ы CrowdStrike очень кусючие, так что прийдется отбросить все паб инструменты по любому и вообще минимизировать использование автоматических утилит, даже если они модифицированые. Поресерчите LOLBins, в случае з kernel-level АВ это пока что самая рабочая схема. Но без тех. информации в виде установленного ПО, версии операционки и тп, тут вам мало кто сможет помочь.