Quando un utente effettua il primo logon su una macchina Windows, il sistema crea un profilo locale (tipicamente in C:UsersNomeUtente). Anche dopo il logout, quel profilo spesso rimane sul disco (salvo policy di cleanup) e può contenere artefatti utili: dati browser (cookie/session), credenziali cached e segreti protetti da DPAPI, oltre a file sensibili.
Se immaginassimo una sessione attiva come un ospite nella sua stanza d’albergo, il profilo utente sarebbe la stanza lasciata dall’ospite: anche se lui non c’è più, alcuni suoi oggetti potrebbero essere ancora lì.
Il tool che vi segnalo è la mappa che indica ad un attaccante quali stanze non sono ancora state “pulite”. ProfileHound automatizza la correlazione tra utenti e computer, sfruttando il concetto di arco (edge) nel grafo di BloodHound: HasUserProfile.
- Enumerazione: si connette alla share amministrativa C$ ed enumera i profili in \<target>C$Users… (richiede privilegi amministrativi).
- Correlazione e metadata: per ogni profilo legge i metadata di NTUSER.DAT (SID/ownership) e raccoglie i timestamp di creazione e ultima modifica del file per stimare quanto il profilo sia “recente”.
- Visualizzazione: esporta un JSON OpenGraph importabile in BloodHound CE, creando l’edge HasUserProfile con proprietà temporali (created/modified).
