แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz

บริษัท Huntress เปิดเผยการบุกรุกที่แฮ็กเกอร์ทยอยปิด Microsoft Defender, Sysmon และ ModSecurity WAF ก่อนใช้ Mimikatz ดูดรหัสผ่าน เริ่มจากเว็บเชลล์ที่ซ่อนด้วยเทคนิค steganography บนเซิร์ฟเวอร์ IIS ผู้โจมตีใช้สคริปต์ i.bat ปิดล็อกและเครื่องมือความปลอดภัยกว่าสิบเทคนิค แล้วแก้ WDigest ให้ Windows เก็บรหัสผ่านเป็นข้อความธรรมดา โชคดีที่ SOC จับได้ก่อนข้อมูลรั่ว






