Получение секретов в ОС Windows становится с каждым годом все сложнее: современные EDR, как правило, анализируют каждое действие. В этом докладе Хайдар представит новый способ извлечения учетных данных пользователей на лету — без записи на диск, доступа к LSASS, срабатывания EDR и даже без привилегий SYSTEM.
Спикер разберет, как выглядит реестр в пользовательском пространстве и пространстве ядра и как к нему можно получить доступ с помощью Native API с минимальными правами. Также он углубится в архитектуру LSA и его баз данных. Дополнительно рассмотрит, как современные EDR отслеживают доступ к реестру и какие существует способы и техники обхода этих механизмов безопасности.
Доклад будет интересен как для специалистов red team, так и для blue team, работающих с Windows
О спикерах
Хайдар Кабибо
Специалист по анализу защищенности, Assume Birch Team
Исследователь, сфокусированный на безопасности промышленных систем. Он специализируется на внутренних аспектах безопасности Windows, системах связи, сетевых протоколах, а также безопасности инфраструктуры промышленных систем в целом
