- Подсеть:
10.0.0.0/16.
- Живых хостов: ~238.
- Из них: 220 рабочих станций, 14 серверов, 4 сетевых устройства.
- Теневая инфраструктура: 6 хостов, присутствующих в сети, но отсутствующих в AD — переданы заказчику для разбирательства.
| Показатель |
Значение |
| Всего учёток |
612 |
| Активных |
418 |
| Отключённых |
194 |
С дефолт-паролем X123456x |
47 |
47 учёток с дефолтным паролем принудительно переведены в режим
«сменить при следующем входе».
- DCSync +
collect_hives.py: получено 418 NTLM-хешей и 212 DCC2-хешей.
- Hashcat (
-m 1000, -m 2100) + словари с правилами john_policy:
подобрано 73 пароля (≈17,5 % от активных учёток).
- Все факты компрометации зафиксированы в AD Analytics и продублированы в SIEM
(см. SIEM и DLP).
- AD Analytics (см. overview).
collect_hives.py, mscache.py, smb_user_scan.py — из репозитория продукта.- impacket (
secretsdump), hashcat, john.
Changelog
- 2026-04-30 — изначальная версия (claude/DEP816)