Comment les Groupes APT Pivotent de l'Accès Initial à la Domination du Domaine en Moins de 4 Heures
· 16 min read
Vous fixez une alerte EDR à 23h47. Un document Word a lancé PowerShell. Au moment où votre analyste prend en charge le ticket à 00h09, l'attaquant a déjà une balise qui appelle son C2, a exécuté BloodHound sur tout votre AD, extrait les identifiants de LSASS, et s'authentifie sur votre contrôleur de domaine avec un hash d'Administrateur de Domaine. Le "temps de présence moyen de 200 jours" que vous avez cité lors du comité de direction du trimestre dernier va bientôt devenir une note de bas de page. Cette intrusion se terminera en quatre heures.
Catégorie : Renseignement sur les Menaces · Temps de lecture : 25 min · Audience : Analystes SOC, Ingénieurs de Détection, Intervenants sur Incidents