После первичного проникновения в корпоративную сеть компании злоумышленник может столкнуться с ситуацией, когда полученный доступ ограничен правами непривилегированной учетной записи, которых в большинстве случаев не хватит для развития атаки. Например, если атакующий захочет воспользоваться какой-либо утилитой дампа учетных данных пользователей из оперативной памяти или базы SAM и заполучить учетную запись с правами на множестве хостов корпоративной сети, то без административных прав не обойтись — потребуется локальное повышение привилегий. И здесь в арсенале атакующего множество возможных векторов, начиная с эксплуатации ошибок конфигурирования (например, установка системных сервисов с некорректными правами доступа) и заканчивая эксплуатацией уязвимостей ядра операционной системы или сторонних драйверов.

В докладе автор рассмотрит типовые векторы повышения привилегий в ОС Windows и покажет пути их детектирования на базе штатных возможностей аудита ОС Windows и свободно распространяемого программного обеспечения — инструмента Sysmon и стека ELK. Планируемые к представлению подходы к выявлению повышения привилегий используются в работе реального центра мониторинга и основаны на более чем 2-летнем практическом опыте докладчика в Threat Hunting. Презентация будет полезна аналитикам SOC, занимающимся разработкой правил корреляции/Threat Hunting.