ТЕХНІЧНИЙ ОПИС

Зловмисники можуть отримувати та зловживати обліковими даними існуючих акаунтів як засобом для отримання початкового доступу (Initial Access), закріплення (Persistence), підвищення привілеїв (Privilege Escalation) або обходу захисту (Defense Evasion). Скомпрометовані облікові дані можуть бути використані для обходу контролю доступу до різних ресурсів у системах мережі та навіть для постійного доступу до віддалених систем і зовнішніх сервісів, таких як VPN, Outlook Web Access (OWA), мережеві пристрої та віддалений робочий стіл (RDP).

Скомпрометовані дані також можуть надати зловмиснику підвищені привілеї в конкретних системах або доступ до обмежених зон мережі. Зловмисники можуть вирішити не використовувати шкідливе ПЗ або інструменти разом із легітимним доступом, який забезпечують ці облікові дані, щоб ускладнити виявлення своєї присутності.

У деяких випадках зловмисники можуть зловживати неактивними обліковими записами: наприклад тими, що належать особам, які більше не є частиною організації. Використання таких акаунтів може дозволити зловмиснику уникнути виявлення, оскільки початковий власник акаунта не зможе ідентифікувати будь-яку аномальну активність.

Перекриття дозволів для локальних, доменних та хмарних облікових записів у мережі систем викликає занепокоєння, оскільки зловмисник може перемикатися між акаунтами та системами (pivoting), щоб досягти високого рівня доступу (наприклад, адміністратора домену або підприємства) та обійти встановлені в організації засоби контролю.