AD Ghost
PowerShell-скрипт, который реализует одну из наиболее изощрённых техник скрытия пользователя в AD с использованием манипуляции правами доступа (ACL). Создаёт новую учётную запись пользователя в Active Directory, но делает её практически невидимой для большинства администраторов.
Подробнее
Основная идея - не использовать флаги вроде showInAdvancedViewOnly или размещение в малозаметных контейнерах, а полностью лишить всех, кроме выбранных субъектов, прав на просмотр объекта.
Обнаружить такую учётку стандартными средствами (ADUC, PowerShell-команды Get-ADUser, консоль Users and Computers) крайне сложно — она просто не отображается в результатах поиска и просмотра.
Особенности
- Скрытие через ACL: Полностью переписывает права доступа на OU и объекте пользователя — удаляет все стандартные разрешения, отключает наследование, оставляет доступ только указанному админу и SYSTEM.
- Невидимость: Пользователь не отображается в ADUC, Get-ADUser, PowerShell-поиске и большинстве инструментов — нет прав на чтение/перечисление.
- Размещение: Создаёт OU "Security" внутри CN=LostAndFound (редко просматриваемый системный контейнер).
- Backdoor-потенциал: Классическая red team техника для создания скрытой привилегированной учётки (persistence).
- Автоматизация: Генерирует samAccountName, сложный пароль, выводит summary с данными.
- Трудное обнаружение: Требует специальных инструментов (ADACLScanner, BloodHound, PingCastle).
Сообщество THREAD предупреждает, что перед запуском предоставленного программного обеспечения необходимо проявить особую осторожность. Для защиты рабочих станций от возможного заражения рекомендуется использовать виртуальную машину или песочницу.
Пароль от архива и соглашение