บทความนี้จะอธิบายขั้นตอนการทำงานของเหล่า Potatoes หนึ่งในเครื่องมือที่ใช้งานในการยกระดับสิทธิบน Windows ก็คือเหล่าตระกูล "Potatoes" ซึ่งเป็นกลุ่มเครื่องมือที่ใช้ช่องโหว่ทางเทคนิคร่วมกับ User ที่มีสิทธิ SeImpersonatePrivilege เพื่อเปลี่ยนจากสิทธิ์ User ทั่วไปให้กลายเป็นสิทธิ์ผู้ใช้งานระดับสูงของเครื่องได้ในทันที

Active Directory Certificate Services (AD CS) ไม่ได้เป็นเพียงระบบออกใบรับรองเท่านั้น แต่ยังสามารถถูกผู้โจมตีใช้เป็นจุดฝังตัวเพื่อคงอยู่ในระบบ (Persistence) ได้อย่างแนบเนียน บทความนี้จะพาไปทำความเข้าใจเทคนิคและแนวคิดในการใช้ AD CS เพื่อฝั่งตัวอยู่ใน Active Directory Environment

ไม่ว่ากาลเวลาจะผันเปลี่ยนไปสักเท่าไร การโจมตีองค์กรต่าง ๆ เหล่า attacker มักจะมีเป้าหมายในการโจมตีและยึดครองระบบ Active Directory (AD) โดยอาศัยเทคนิคมากมายในการขยายผลและยกระดับสิทธิของตัวเองให้สามารถควบคุมทั้งองค์กรให้ได้

Microsoft ออกมาประกาศว่า NTLM จะถูก deprecated อย่างเป็นทางการใน Windows 11 24H2 และ Windows Server 2025

Shadow Credentials เป็นเทคนิคในการโจมตีรูปแบบหนึ่งที่ทำให้ attacker สามารถแฝงตัวเข้ายึดเครื่อง computer หรือ user ที่อยู่บน environment ของ Active Directory (AD) โดยที่ไม่จำเป็นต้องรู้รหัสผ่านของเป้าหมาย

Microsoft ได้มีการเปิดตัว Copilot+ PC ซึ่งเป็นแล็ปท็อประบบปฏิบัติการ Windows 11 ที่มีการใช้งานหน่วยประมวลผลที่เป็น Neural Processing Unit (NPU)

การทำ harden ของ system component (e.g. package, server, database, operating system, firewall, cloud service, etc.)

บทความชุดนี้ตั้งใจเขียนอธิบายเรื่อง Kerberos ใน Windows Domain Environment และวิธีการโจมตีเหมาะสำหรับนักทดสอบเจาะระบบ อาจเป็นประโยชน์กับผู้ดูแลระบบบ้างแต่ไม่ได้มากนักเพราะไม่ได้เน้นเนื้อหาส่วน detection และ prevention สักเท่าไรเมื่อเทียบกับการอธิบายที่มาที่ไปและวิธีการโจมตี

หลังจากที่เราสามารถ compromise ผู้ใช้งานในกลุ่ม domain admins ได้สำเร็จ ในเชิงเทคนิคแล้ว domain นั้นย่อมถูก compromise ไปเรียบร้อยแล้ว