В случае обнаружения факта компрометации необходимо применение защитных контрмер.

📌Сброс учётных данных для привилегированных и непривилегированных учётных записей в пределах границ доверия каждой скомпрометированной учётной записи.

📌Принудительный сброс пароля, отзыв и выдача новых сертификатов для всех учётных записей и устройств.

Действия, относящиеся к среде Windows:

📌При подозрении на доступ к Контроллеру домена (DC) или Active Directory (AD) сброс паролей всех локальных учётных записей, включая Guest, HelpAssistant, DefaultAccount, System, Administrator и krbtgt. Учётную запись krbtgt, которая обрабатывает запросы на регистрацию Kerberos, следует дважды сбросить для обеспечения безопасности из-за истории с двумя паролями.

📌Если есть подозрение, что файл ntds.dit подвергался эксфильтрации, требуется сброс пароля всех пользователей домена.

📌Просмотр и коррекция политики доступа для временного отзыва или уменьшения права доступа для затронутых учётных записей и устройств.

📌Сброс учётных данных учётной записи без повышенных прав доступа: если доступ атакующего ограничен правами, сброс соответствующих учётным данным ключа доступа и отслеживание дальнейших признаков несанкционированного доступа, особенно к учётным записям администраторов.

Аудит сетевых устройств и пограничных устройств: проверка наличия признаков несанкционированных или вредоносных изменений конфигурации. Если изменения обнаружены:

📌 Требуется изменения всех учётных данных, используемых для управления сетевыми устройствами, включая ключи и строки, обеспечивающие функции сетевого устройства.

📌 Обновление всех прошивок и программного обеспечения до последних версий.

📌 Минимизация удалённого доступа и контроль: следование рекомендациям по обеспечению безопасности средств и протоколов удалённого доступа, включая рекомендации по безопасности программного обеспечения удалённого доступа и безопасному использованию PowerShell.