SMB/Windows管理员共享

对手可能会使用有效帐户与远程网络共享进行交互，使用服务器消息块（SMB）。然后，对手可能会以登录用户的身份执行操作。 SMB是Windows机器在同一网络或域上共享文件、打印机和串行端口的协议。对手可能会使用SMB与文件共享进行交互，允许他们在网络中横向移动。Linux和macOS的SMB实现通常使用Samba。 Windows系统具有仅管理员可访问的隐藏网络共享，提供远程文件复制和其他管理功能。例如网络共享包括C$、ADMIN$和IPC$。对手可能会结合管理员级别的有效帐户使用此技术，通过SMB远程访问网络系统，(引用: Wikipedia Server Message Block) 与系统进行远程过程调用（RPC）交互，(引用: TechNet RPC) 传输文件，并通过远程执行运行传输的二进制文件。依赖于通过SMB/RPC进行身份验证会话的示例执行技术包括计划任务/作业、服务执行和Windows管理工具。对手还可以使用NTLM哈希访问系统上的管理员共享，使用传递哈希和某些配置和补丁级别。(引用: Microsoft Admin Shares)