SACL elkerülése
A SpecterOps blogja a System Access Control List (SACL) használatát ismerteti a red team műveletek közben. A SACL-ek olyan biztonsági jelzések, amelyek lehetővé teszik a rendszergazdák számára, hogy nyomon kövessék a különböző objektumokhoz való hozzáférési kísérleteket a Windows környezetben. Ezáltal a Security Operations Center (SOC) értesítést kaphat, ha egy felhasználó vagy folyamat hozzáfér egy fájlhoz, mappához vagy rendszerleíró kulcshoz.
A SpecterOps ismerteti a SACL_Scanner nevű eszközt, amelyet a SpecterOps fejlesztett ki. Ez az eszköz segít a red team tagjainak azonosítani azokat az objektumokat, amelyek SACL-ekkel vannak védve, így elkerülhetik a nem kívánt riasztások kiváltását a SOC-ban. A SACL_Scanner képes ellenőrizni a helyi Windows objektumokat, például a rendszerleíró kulcsokat, szolgáltatásokat, fájlokat és könyvtárakat, valamint az Active Directory objektumokat is. Fontos megjegyezni, hogy az eszköz használatához megfelelő jogosultságok szükségesek, mivel a SACL-ek olvasása adminisztrátori vagy speciális engedélyeket igényel.
A SACL-ek észlelése és elkerülése kulcsfontosságú a red team műveletek során a lopakodás fenntartása érdekében. A SACL_Scanner használatával a támadók minimalizálhatják a felfedezés kockázatát, és hatékonyabban végezhetik tevékenységüket anélkül, hogy figyelmeztetéseket váltanának ki.