Дмитрий Стародубцев
Ну получается что я когда первый раз зашёл на зараженный КД, подцепил что-то с зараженной учётки?
Ничего не понимаю, что откуда подцепил
У вас протокол компрометация домена/сети, по дефолту - известны многие админские креды / хэши
тем более как я понимаю от mimikatz ваша инфраструктура не защищена
Добавлю нюансик на будущее - и сейчас, и потом если спасетесь
прямого доступа в интернет не должно быть НИ У КАКИХ серверных и т.д. объектов, кроме тех, где он реально нужен.
ибо так не будет связи с СС
