После foothold в Active Directory атака редко остаётся локальной. В статье разбираем, как скрытые каналы появляются в постэксплуатационной цепочке, почему атакующие прячут управление в DNS, HTTP/S, SSH и ICMP и чем такие сценарии опасны именно для защитника, а не только для красной команды.
Вы увидите, как такие каналы выглядят в телеметрии: от странного DNS-профиля и нетипичного веб-трафика до связки процесс → сетевое...Pivoting и tunneling в Active Directory: как это видит Blue Team
Источник: codeby.net