故事接着小新公司被入侵之後的延续,
小新在厂商调查的同时,也没有闲着,
对着手中的 event log 开始做整理,
里面他发现很有趣的事情,有一个帐号长得很像 Administrator 但又看起来不是。
就像下方的图:
这个有趣的帐号名就是
Administrateur
如果你学过一点外文,可能会发现这种发音应该是法文,
你把它拿去 google 一下,你就会发现原来 Mimikatz 的官方文件就使用这样的用字,
毕竟作者本身就是法国人。
有趣的是这样的攻击是能够成功的,
有兴趣可以去查查 Pass The Ticket Attack,
文章後面有附 mimikatz 指令连结还有个人推荐的 blog 连结,
当你去了解攻击就知道为什麽这个会起作用了。
骇客在攻击过程中不熟悉工具,喜欢复制贴上指令,
有时候我们 IR/研究员在调查的过程,就会看到这些有趣的现象,
毕竟有素质的骇客组织都有一些标准手续、习惯,这些东西当他们在做攻击/进入一个环境,
都会下意识的复制贴上,所以有时候能看到他们打错指令等等。
<<: 自动化测试,让你上班拥有一杯咖啡的时间 | Day 15 - 设定环境变量
前言 本日主要内容包含另一个网路撷取资料方式Convert HTML Tables To JSON、...
前言 JS 30 是由加拿大的全端工程师 Wes Bos 免费提供的 JavaScript 简单应用...
前情提要 工具人竟敢透露了一些身份的秘密。 我:打断一下,所以为何你们三个工具人出现的瞬间,JS姐妹...
消费者每天搜寻的字词中,根据 Google 的统计,每天有 15% 以上的新的搜寻字词出现。因此编辑...
GOOGLE登入 第一步:在firebase添加一个新的专案 第二步:选取android专案 第三步...