Одно из наиболее распространенных средств для разведки Active Directory, используемых злоумышленниками, — AdFind, легитимный инструмент запросов к Active Directory из командной строки.
Прежде чем начать горизонтальное перемещение, злоумышленникам необходимо собрать информацию о сети, в которую они проникли. Такие действия могут включать сканирование сети и разведку Active Directory.
Если злоумышленникам удается получить доступ к контроллеру домена, они также могут создать дамп всей базы данных домена Active Directory, которая хранится в файле NTDS.dit.
обязательно загружать дополнительные инструменты для дампа учетных данных — они могут пользоваться встроенными возможностями Windows. Например, члены группировки Conti использовали функцию MiniDump службы COM+ для создания дампа lsass.exe.
Операторы программ-вымогателей до сих пор часто используют Mimikatz, хотя его легко обнаружить. Некоторые злоумышленники даже загружают его вручную на скомпрометированный хост из официального репозитория GitHub.
ProcDump, который, как правило, применяется для создания снимка памяти процесса Сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS).
LaZagne, инструмент, способный извлекать учетные данные не только из энергозависимой памяти, но и из различных хранилищ паролей, таких как веб-браузеры.
