Привет, Хабр!

В предущей статье мы разобрали основы и механизмы работы атаки DCSync, а также рассмотрели несколько наиболее популярных утилит для ее реализации: mimikatz, secretsdump, DSInternals и существующие между ними различия. В результате анализа стало понятно, что у всех утилит прослеживается один и тот же принцип проведения атаки и присутствует одинаковый фактор для ее выявления - DRSReplicaSync.

В этой части я сфокусируюсь на потенциальных способах детектирования DCSync.
Для построения возможной логики детектирования для начала нам необходимо изучить какие события в журналах Windows и на уровне мы можем зафиксировать в результате запуска утилит.

https://habr.com/ru/post/709942/?utm_source=habrahabr&utm_medium=rss&utm_campaign=709942