Обнаружение после проникновения Windows
Разведка
При попадании в инфраструктуру обычно производится поиск административных учетных записей, привилегированных группы безопасности, наличие настроенных соглашений (trust) между контроллерами доменов с дочерними/родительскими организациями.
net user /domain выведет названия всех учетных записей в домене. Достаточна непривилегированная учетная запись в группе пользователей домена.
Данная команда журналируется только на локальном компьютере, на котором она была исполнена, ее обычно запускают на первом зараженном хосте. Cобытие EventID=4688 журнала Security или на событии EventID=1 журнала Sysmon.
Рассмотрим ниже пример события EventID=1 журнала Sysmon с разведкой в формате xml, где обратите внимание на поле
<Data Name="CommandLine">C:\Windows\system32\net1 user /domain</Data> , в котором зафиксирована команда разведки. Как вы заметили в журнале команда net зафиксирована как net1, это сделано для обеспечения совместимости и исправления старой ошибки в команде net в 2000 году и осталась в системе до сих пор. Ситуации с различием команд при логировании и исполнении в командной строке не так часты, но их надо учитывать при разработке корреляционных правил выявления атак и проверять, как журналирует система выполненные команды, если даже они кажутся очевидными.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" />
<EventID>1</EventID>
<Version>5</Version>
<Level>4</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-02-04T14:23:41.035418100Z" />
<EventRecordID>6914807</EventRecordID>
<Correlation />
<Execution ProcessID="1604" ThreadID="2020" />
<Channel>Microsoft-Windows-Sysmon/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="RuleName">-</Data>
<Data Name="UtcTime">2024-02-04 14:23:41.019</Data>
<Data Name="ProcessGuid">{460797FE-9DED-65BF-7D01-000000001800}</Data>
<Data Name="ProcessId">976</Data>
<Data Name="Image">C:\Windows\System32\net1.exe</Data>
<Data Name="FileVersion">6.3.9600.17415 (winblue_r4.141028-1500)</Data>
<Data Name="Description">Net Command</Data>
<Data Name="Product">Microsoft® Windows® Operating System</Data>
<Data Name="Company">Microsoft Corporation</Data>
<Data Name="OriginalFileName">net1.exe</Data>
<Data Name="CommandLine">C:\Windows\system32\net1 user /domain</Data>
<Data Name="CurrentDirectory">C:\Windows\system32\</Data>
<Data Name="User">LAB\Administrator</Data>
<Data Name="LogonGuid">{460797FE-9671-65BE-4054-040000000000}</Data>
<Data Name="LogonId">0x45440</Data>
<Data Name="TerminalSessionId">1</Data>
<Data Name="IntegrityLevel">High</Data>
<Data Name="Hashes">MD5=A3F48D90EE53FDF2547B41F87A7C8080,SHA256=D28BC8FA6E80316833C0EBB948B46511971B96635892F40998A216A2DD5EC8AA,IMPHASH=EA59607831B13D45CEC2066C9436738F</Data>
<Data Name="ParentProcessGuid">{460797FE-9DEC-65BF-7C01-000000001800}</Data>
<Data Name="ParentProcessId">2372</Data>
<Data Name="ParentImage">C:\Windows\System32\net.exe</Data>
<Data Name="ParentCommandLine">net user /domain</Data>
<Data Name="ParentUser">LAB\Administrator</Data>
</EventData>
</Event>net group /domain.
Так будет выглядить событие в формате xml по разведке доменных групп. Базируется выявление активности так же на событии EventID=4688 журнала Security или на событии EventID=1 журнала Sysmon. Обратите внимание на поле
<Data Name="CommandLine">C:\Windows\system32\net1 group /domain</Data>- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" />
<EventID>1</EventID>
<Version>5</Version>
<Level>4</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-02-04T15:15:07.129601400Z" />
<EventRecordID>6921609</EventRecordID>
<Correlation />
<Execution ProcessID="1604" ThreadID="2020" />
<Channel>Microsoft-Windows-Sysmon/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="RuleName">-</Data>
<Data Name="UtcTime">2024-02-04 15:15:07.129</Data>
<Data Name="ProcessGuid">{460797FE-A9FB-65BF-9201-000000001800}</Data>
<Data Name="ProcessId">2988</Data>
<Data Name="Image">C:\Windows\System32\net1.exe</Data>
<Data Name="FileVersion">6.3.9600.17415 (winblue_r4.141028-1500)</Data>
<Data Name="Description">Net Command</Data>
<Data Name="Product">Microsoft® Windows® Operating System</Data>
<Data Name="Company">Microsoft Corporation</Data>
<Data Name="OriginalFileName">net1.exe</Data>
<Data Name="CommandLine">C:\Windows\system32\net1 group /domain</Data>
<Data Name="CurrentDirectory">C:\Windows\system32\</Data>
<Data Name="User">LAB\Administrator</Data>
<Data Name="LogonGuid">{460797FE-9671-65BE-4054-040000000000}</Data>
<Data Name="LogonId">0x45440</Data>
<Data Name="TerminalSessionId">1</Data>
<Data Name="IntegrityLevel">High</Data>
<Data Name="Hashes">MD5=A3F48D90EE53FDF2547B41F87A7C8080,SHA256=D28BC8FA6E80316833C0EBB948B46511971B96635892F40998A216A2DD5EC8AA,IMPHASH=EA59607831B13D45CEC2066C9436738F</Data>
<Data Name="ParentProcessGuid">{460797FE-A9FB-65BF-9101-000000001800}</Data>
<Data Name="ParentProcessId">2908</Data>
<Data Name="ParentImage">C:\Windows\System32\net.exe</Data>
<Data Name="ParentCommandLine">net group /domain</Data>
<Data Name="ParentUser">LAB\Administrator</Data>
</EventData>
</Event>Отслеживать каждую команду разведки по отдельности в большой инфраструктуре может быть черевато большим количеством ложных срабатываний, поэтому стоит рассмотреть вариант выявления активнсти по массовому запуску команд разведки за короткий промежуток времени.
Примеры корреляционных правил на Sigma:
title: Suspicious Reconnaissance Activity
id: d95de845-b83c-4a9a-8a6a-4fc802ebf6c0
status: experimental
description: Detects suspicious command line activity on Windows systems
author: Florian Roth
date: 2019/01/16
tags:
- attack.discovery
- attack.t1087
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine:
- net group "domain admins" /domain
- net localgroup administrators
condition: selection
fields:
- CommandLine
- ParentCommandLine
falsepositives:
- Inventory tool runs
- Penetration tests
- Administrative activity
analysis:
recommendation: Check if the user that executed the commands is suspicious (e.g. service accounts, LOCAL_SYSTEM)
level: mediumtitle: Suspicious Group And Account Reconnaissance Activity Using Net.EXE
id: d95de845-b83c-4a9a-8a6a-4fc802ebf6c0
status: test
description: Detects suspicious reconnaissance command line activity on Windows systems using Net.EXE
references:
- https://redcanary.com/blog/how-one-hospital-thwarted-a-ryuk-ransomware-outbreak/
- https://thedfirreport.com/2020/10/18/ryuk-in-5-hours/
- https://research.nccgroup.com/2022/08/19/back-in-black-unlocking-a-lockbit-3-0-ransomware-attack/
author: Florian Roth (Nextron Systems), omkar72, @svch0st, Nasreddine Bencherchali (Nextron Systems)
date: 2019/01/16
modified: 2023/03/02
tags:
- attack.discovery
- attack.t1087.001
- attack.t1087.002
logsource:
category: process_creation
product: windows
detection:
selection_img:
- Image|endswith:
- '\net.exe'
- '\net1.exe'
- OriginalFileName:
- 'net.exe'
- 'net1.exe'
# Covers group and localgroup flags
selection_group_root:
CommandLine|contains:
- ' group '
- ' localgroup '
selection_group_flags:
CommandLine|contains:
# Add more groups for other languages
- 'domain admins'
- ' administrator' # Typo without an 'S' so we catch both
- ' administrateur' # Typo without an 'S' so we catch both
- 'enterprise admins'
- 'Exchange Trusted Subsystem'
- 'Remote Desktop Users'
- 'Utilisateurs du Bureau à distance' # French for "Remote Desktop Users"
- 'Usuarios de escritorio remoto' # Spanish for "Remote Desktop Users"
- ' /do' # short for domain
filter_group_add:
# This filter is added to avoid the potential case where the point is not recon but addition
CommandLine|contains: ' /add'
# Covers 'accounts' flag
selection_accounts_root:
CommandLine|contains: ' accounts '
selection_accounts_flags:
CommandLine|contains: ' /do' # short for domain
condition: selection_img and ((all of selection_group_* and not filter_group_add) or all of selection_accounts_*)
fields:
- CommandLine
- ParentCommandLine
falsepositives:
- Inventory tool runs
- Administrative activity
level: medium
analysis:
recommendation: Check if the user that executed the commands is suspicious (e.g. service accounts, LOCAL_SYSTEM)
Разведка с помощью командлетов (cmdlets) PowerShell
Выполним команду Get-ADForest. Данная команда выдает информацию о лесе AD. Лесом называют полностью самостоятельную организацию Active Directory, которая имеет определенный набор атрибутов и является периметром безопасности организации. В состав леса могут входить как один, так и несколько доменов. В лесу у каждого домена есть своя база данных и свои собственные контроллеры домена. Однако пользователи домена в лесу также могут получить доступ к другим доменам леса. Это означает, что даже если домен может быть автономным (без необходимости взаимодействия с другими доменами), он не изолирован с точки зрения безопасности, поскольку пользователь из одного домена по умолчанию может получить доступ к ресурсам других доменов в том же лесу. Однако пользователи леса по умолчанию не могут получить доступ к ресурсам из других лесов, поэтому лес является логической структурой, которая может обеспечить изоляцию с точки зрению безопасности.
Ниже представлено событие выполнения скрипт-блоков с EventID = 4104 из журнала Powershell. Обратите внимание на строку
<Data Name="ScriptBlockText">get-adforest</Data>, в которой зафиксировано выполнение команды.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-PowerShell" Guid="{A0C1853B-5C40-4B15-8766-3CF1C58F985A}" />
<EventID>4104</EventID>
<Version>1</Version>
<Level>5</Level>
<Task>102</Task>
<Opcode>15</Opcode>
<Keywords>0x0</Keywords>
<TimeCreated SystemTime="2024-02-04T20:00:41.649279800Z" />
<EventRecordID>4667</EventRecordID>
<Correlation ActivityID="{6487D210-56D8-0000-D6F8-8764D856DA01}" />
<Execution ProcessID="4092" ThreadID="3048" />
<Channel>Microsoft-Windows-PowerShell/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-21-1043167210-2633990363-2710869231-500" />
</System>
- <EventData>
<Data Name="MessageNumber">1</Data>
<Data Name="MessageTotal">1</Data>
<Data Name="ScriptBlockText">get-adforest</Data>
<Data Name="ScriptBlockId">07651e4c-bb49-4563-8b55-1454584112d7</Data>
</EventData>
</Event>Количество командлетов PowerShell для разведки не малое количество, выявить их запуск можно так же по событию с EventID = 4104.
Пример корреляционного правила на Sigma для выявления команд разведки данных AD и не только.
title: PowerView PowerShell Cmdlets - ScriptBlock
id: dcd74b95-3f36-4ed9-9598-0490951643aa
related:
- id: b2317cfa-4a47-4ead-b3ff-297438c0bc2d
type: similar
status: test
description: Detects Cmdlet names from PowerView of the PowerSploit exploitation framework.
references:
- https://powersploit.readthedocs.io/en/stable/Recon/README
- https://github.com/PowerShellMafia/PowerSploit/tree/master/Recon
- https://thedfirreport.com/2020/10/08/ryuks-return
- https://adsecurity.org/?p=2277
author: Bhabesh Raj
date: 2021/05/18
modified: 2023/11/22
tags:
- attack.execution
- attack.t1059.001
logsource:
product: windows
category: ps_script
definition: 'Requirements: Script Block Logging must be enabled'
detection:
selection:
ScriptBlockText|contains:
- 'Export-PowerViewCSV'
- 'Find-DomainLocalGroupMember'
- 'Find-DomainObjectPropertyOutlier'
- 'Find-DomainProcess'
- 'Find-DomainShare'
- 'Find-DomainUserEvent'
- 'Find-DomainUserLocation'
- 'Find-ForeignGroup'
- 'Find-ForeignUser'
- 'Find-GPOComputerAdmin'
- 'Find-GPOLocation'
- 'Find-InterestingDomain' # Covers: Find-InterestingDomainAcl, Find-InterestingDomainShareFile
- 'Find-InterestingFile'
- 'Find-LocalAdminAccess'
- 'Find-ManagedSecurityGroups'
- 'Get-CachedRDPConnection'
- 'Get-DFSshare'
- 'Get-DomainDFSShare'
- 'Get-DomainDNSRecord'
- 'Get-DomainDNSZone'
- 'Get-DomainFileServer'
- 'Get-DomainGPOComputerLocalGroupMapping'
- 'Get-DomainGPOLocalGroup'
- 'Get-DomainGPOUserLocalGroupMapping'
- 'Get-LastLoggedOn'
- 'Get-LoggedOnLocal'
- 'Get-NetFileServer'
- 'Get-NetForest' # Covers: Get-NetForestCatalog, Get-NetForestDomain, Get-NetForestTrust
- 'Get-NetGPOGroup'
- 'Get-NetProcess'
- 'Get-NetRDPSession'
- 'Get-RegistryMountedDrive'
- 'Get-RegLoggedOn'
- 'Get-WMIRegCachedRDPConnection'
- 'Get-WMIRegLastLoggedOn'
- 'Get-WMIRegMountedDrive'
- 'Get-WMIRegProxy'
- 'Invoke-ACLScanner'
- 'Invoke-CheckLocalAdminAccess'
- 'Invoke-EnumerateLocalAdmin'
- 'Invoke-EventHunter'
- 'Invoke-FileFinder'
- 'Invoke-Kerberoast'
- 'Invoke-MapDomainTrust'
- 'Invoke-ProcessHunter'
- 'Invoke-RevertToSelf'
- 'Invoke-ShareFinder'
- 'Invoke-UserHunter'
- 'Invoke-UserImpersonation'
- 'Remove-RemoteConnection'
- 'Request-SPNTicket'
- 'Resolve-IPAddress'
# - 'Get-ADObject' # prone to FPs
# - 'Get-Domain' # too many FPs # Covers Cmdlets like: DomainComputer, DomainController, DomainDFSShare, DomainDNSRecord, DomainGPO, etc.
# - 'Add-DomainGroupMember'
# - 'Add-DomainObjectAcl'
# - 'Add-ObjectAcl'
# - 'Add-RemoteConnection'
# - 'Convert-ADName'
# - 'Convert-NameToSid'
# - 'ConvertFrom-UACValue'
# - 'ConvertTo-SID'
# - 'Get-DNSRecord'
# - 'Get-DNSZone'
# - 'Get-DomainComputer'
# - 'Get-DomainController'
# - 'Get-DomainGroup'
# - 'Get-DomainGroupMember'
# - 'Get-DomainManagedSecurityGroup'
# - 'Get-DomainObject'
# - 'Get-DomainObjectAcl'
# - 'Get-DomainOU'
# - 'Get-DomainPolicy'
# - 'Get-DomainSID'
# - 'Get-DomainSite'
# - 'Get-DomainSPNTicket'
# - 'Get-DomainSubnet'
# - 'Get-DomainUser'
# - 'Get-DomainUserEvent'
# - 'Get-Forest' # Covers: Get-ForestDomain, Get-ForestGlobalCatalog, Get-ForestTrust
# - 'Get-IPAddress'
# - 'Get-NetComputer' # Covers: Get-NetComputerSiteName
# - 'Get-NetDomain' # Covers: Get-NetDomainController, Get-NetDomainTrust
# - 'Get-NetGroup' # Covers: Get-NetGroupMember
# - 'Get-NetLocalGroup' # Covers: NetLocalGroupMember
# - 'Get-NetLoggedon'
# - 'Get-NetOU'
# - 'Get-NetSession'
# - 'Get-NetShare'
# - 'Get-NetSite'
# - 'Get-NetSubnet'
# - 'Get-NetUser'
# - 'Get-ObjectAcl'
# - 'Get-PathAcl'
# - 'Get-Proxy'
# - 'Get-SiteName'
# - 'Get-UserEvent'
# - 'Get-WMIProcess'
# - 'New-DomainGroup'
# - 'New-DomainUser'
# - 'Set-ADObject'
# - 'Set-DomainObject'
# - 'Set-DomainUserPassword'
condition: selection
falsepositives:
- Unknown
level: highВыявление разведки в журналах события AD
Для наиболее эффективной разведки могут воспользоваться утилитой SharpHound и результаты выполнения, потом, для удобства, визуализировать с помощью утилиты BloodHound. Аналогичные инструменты атакующих для разведки данных в AD, это, ADFind, PowerView и ldapsearch.
Запустим ADFind и посмотрим какие останутся следы в жураналах событий. Предварительно должен быть настроен аудит журналирования запросов для генерации событий EventID=1644 журнала Directory Service. Для настройки аудита необходимо с помощью PowerShell на контроллере домена выполнить команды:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\NTDS\Diagnostics' -Name '15 Field Engineering' -Value "5"Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\NTDS\Parameters' -Name 'Expensive Search Results Threshold' -Value "10"Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\NTDS\Parameters' -Name 'Inefficient Search Results Threshold' -Value "10"Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\NTDS\Parameters' -Name 'Search Time Threshold (msecs)' -Value "80"Данные команды изначально были предназначены отслеживания медленных запросов к AD. Настройку надо выполнять с осторожностью, поскольку повышается нагрузка на контроллере домена. В данном случае уже мы можем отслеживать аномальную активность на самом контроллере домена, это значит, что выявить атаку вероятность выше по сравнению с подходом выявления атаки при исполнении на конечном узле, т.к. события с контроллера домена всегда должны собираться в SIEM, как от критичного узла в инфраструктуре.
Выполним команду:
adfind -b dc=lab,dc=local -f "( |(sAMAccountName=Bill) )"Обратите внимание на строку в событии ниже с идентификатором 1644 со значением <Data>( | (sAMAccountName=Bill) )</Data> , это зафиксирована команда с запросом от утилиты ADFind для получения информации о пользователе Bill.
В поле <Data>192.168.0.5:51653</Data> указан IP-адрес с которого был выполнен запрос.
В поле <Data>LAB\Nick</Data> указано под какой учетной записью был выполнен запрос.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
<EventID Qualifiers="16384">1644</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>15</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2024-02-04T17:56:12.804105800Z" />
<EventRecordID>309</EventRecordID>
<Correlation />
<Execution ProcessID="480" ThreadID="1088" />
<Channel>Directory Service</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-21-1043167210-2633990363-2710869231-1003" />
</System>
- <EventData>
<Data>CN=Schema,CN=Configuration,DC=lab,DC=local</Data>
<Data>( | (sAMAccountName=Bill) )</Data>
<Data>1630</Data>
<Data>50</Data>
<Data>192.168.0.5:51653</Data>
<Data>subtree</Data>
<Data>uid,sAMAccountName</Data>
<Data />
<Data>DNT_index:1070:N;</Data>
<Data>14809</Data>
<Data>4</Data>
<Data>0</Data>
<Data>0</Data>
<Data>0</Data>
<Data>47</Data>
<Data>none</Data>
<Data>LAB\Nick</Data>
</EventData>
</Event>Далее необходимо выявить хост и проанализировать с него журналы событий.
Атака Kerberoasting
В Active Directory любой пользователь может запросить сервисный билет — Service Ticket для любой зарегистрированной службы в домене и имеющий Service Principal Name (SPN), независимо от статуса службы. Service Ticket частично зашифрован ключом Kerberos, полученным из пароля пользователя сервиса, что позволяет подобрать оффлайн пароль, расшифровывая Service Ticket.
Большинство служб регистрируются в учетных записях компьютеров с автоматически генерируемыми паролями длиной 120 символов, меняющимися ежемесячно, что делает взлом Service Ticket невозможным. Однако иногда службы привязываются к обычным учетным записям пользователей со слабыми паролями, что может быть использовано для взлома и получения паролей пользователей.
Атака Kerberoasting заключается в запросе Service Ticket для обычных учетных записей пользователей служб и последующей попытке взлома для получения паролей пользователей, которые обычно имеют высокие привилегии и далее используются на следующих этапах атак.
Проверим учетные записи пользователей с именами участников-служб с помощью ADFind, выполнив команду.
adfind -b dc=lab,dc=local -f "(&(samAccountType=805306368)(servicePrincipalName=*))"В результате получаем две учетный записи с SPN`ами — это krbtgt, который не попал на скриншот в связи с тем, что его не взломать подбором. Вторая учетная запись с SPN выделена на скриншоте sqlservice — это как раз тот самый лакомый кусочек для злоумышленника. Запросив Servcie Ticket для учетной записи sqlservice, злоумышленник может взламывать его у себя на хосте с помощью hashcat.
Для получения Service Ticket и дальнейшего оффлайн взлома, злоумышленник можете использовать следующие скрипты impacket GetUserSPNs.py, команду Rubeus kerberoast или сценарий Invoke-Kerberoast.ps1.
Проведем атаку с помощью утилиты Rubeus используя команду Rubeus.exe kerberoast и результатом получаем хэши от пароля для учетной записи sqlservice на скриншоте ниже, которые можем дальше взламывать.
Посмотрим как это будет зафиксировано в журналах событий на AD. При запросе Service Ticket сгенерировалось событие c EventID = 4769 в журнале Security. Обратите внимание на следующие важные поля:
<Data Name="TargetUserName">Nick@LAB.LOCAL</Data>— учетная запись которая выполнила запрос.<Data Name="ServiceName">sqlservice</Data>— наша учетная запись с SPN.<Data Name="TicketEncryptionType">0x17</Data>— 0x17 означает шифрование AES256, но это не помеха для злоумышленника, потому что уже есть разработанные скрипты для взлома.<Data Name="IpAddress">192.168.0.5</Data>— IP-адрес выполнившего запрос Service Ticket.<Data Name="IpPort">58334</Data>— порты выполнившего запрос Service Ticket.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2024-02-04T23:59:03.715787300Z" />
<EventRecordID>94453</EventRecordID>
<Correlation />
<Execution ProcessID="480" ThreadID="1780" />
<Channel>Security</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="TargetUserName">Nick@LAB.LOCAL</Data>
<Data Name="TargetDomainName">LAB.LOCAL</Data>
<Data Name="ServiceName">sqlservice</Data>
<Data Name="ServiceSid">S-1-5-21-1043167210-2633990363-2710869231-1118</Data>
<Data Name="TicketOptions">0x40800000</Data>
<Data Name="TicketEncryptionType">0x17</Data>
<Data Name="IpAddress">192.168.0.5</Data>
<Data Name="IpPort">58334</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{9B1A0512-6224-531F-E2B8-C5A47A332D75}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>Важное замечание: подобных событий c EventID = 4769 будет огромное множество в инфраструктуре. Это обычная активность.
Для повышения эффективности атаки злоумышленник может запросить несколько Service Ticket за короткий промежуток времени, чтобы получить для дальнейшего брутфорса как можно больше данных, так как он заведомо не знает, у какой сервисной или пользовательской УЗ пароль будет менее криптостойким. Подобную активность можно попытаться выявить корреляционным правилом, которое отслеживает множественные запросы Service Ticket от одного источника за короткий промежуток времени.
Для выявления атаки также можно отслеживать запросы Service Ticket c шифрованием RC4, но может быть большое количество ложных срабатываний, если в инфраструктуре есть сервисы, которые используют устаревшее шифрование.
Пример правила для выявления запроса Service Ticket с шифрованием RC4 на Sigma:
title: Suspicious Kerberos RC4 Ticket Encryption
id: 496a0e47-0a33-4dca-b009-9e6ca3591f39
status: test
description: Detects service ticket requests using RC4 encryption type
references:
- https://adsecurity.org/?p=3458
- https://www.trimarcsecurity.com/single-post/TrimarcResearch/Detecting-Kerberoasting-Activity
author: Florian Roth (Nextron Systems)
date: 2017/02/06
modified: 2022/06/19
tags:
- attack.credential_access
- attack.t1558.003
logsource:
product: windows
service: security
detection:
selection:
EventID: 4769
TicketOptions: '0x40810000'
TicketEncryptionType: '0x17'
reduction:
ServiceName|endswith: '$'
condition: selection and not reduction
falsepositives:
- Service accounts used on legacy systems (e.g. NetApp)
- Windows Domains with DFL 2003 and legacy systems
level: mediumСамый оптимальный способ выявления атаки kerberoasting — использование SPN HoneyToken. HoneyToken — это в данном случае подделанная учетная запись приманка с SPN, которая потом отслеживается на возникающие к ней запросы, т.к. в легитимных целях она не используется. Дополнительный материал об атаке Kerberoasting.
Атака DCSync
DCSync — это атака, позволяющая злоумышленнику выдавать себя за контроллер домена (DC, domain controller) с целью получения базы учетных данных пользователей для последующего горизонтального перемещения в сети и/или доступа к конфиденциальной информации. В основе атаки лежит механизм, предусмотренный для выполнения репликации данных между контроллерами домена (DC).
Механизм репликации данных архитектурно заложен в операционной системе Windows. Службы Active Directory и протокол MS-DRSR отвечают за взаимодействие между контроллерами домена и осуществляют репликацию. Сама компания Microsoft рекомендует изначально устанавливать как минимум два и более контроллера для одного домена в корпоративной сети, чтобы обеспечить отказоустойчивость доменной инфраструктуры. В процессе репликации данных между контроллерами помимо обычных атрибутов об объекте (имя, отчество, списка групп и так далее) передается и чувствительная информация, например, хеши паролей пользователей, поскольку каждый контроллер выступает как точка для аутентификации и авторизации в домене.
Как уже можно было догадаться, отчасти именно из-за наличия такого механизма возможна реализация атаки типа DCSync. Атакующий, имея необходимый набор привилегий, может отправить одному из контроллеров домена организации запрос на выполнение репликации. Запросив при этом информацию по одному или нескольким объектам в домене. Таким образом злоумышленник удаленно собирает хеши паролей пользователей и другую полезную информацию в домене без выполнения какого-либо вредоносного кода на самих контроллерах домена организации.
Необходимые права доступа для проведения атаки DCSync.
|
Наименование |
Common Name(общее имя) |
Rights-GUID(идентификатор прав) |
|---|---|---|
|
Replicating Directory Changes |
1131f6aa-9c07–11d1-f79f-00c04fc2dcd2 |
|
|
Replicating Directory Changes All |
1131f6ad-9c07–11d1-f79f-00c04fc2dcd2 |
Атаку DCSync можно выполнить с помощью инструментов, таких как secretsdump из набора impacket и широко известной утилитой mimikatz.
Например злоумышленник выполняет атаку DCSync с помощью команды
lsadump::dcsync /dc:$DomainController /domain:$DOMAIN /all /csvВыявить атаку на контроллере домена можно с помощью события EventID=4662 журнала Security. Важно понимать, что включение аудита события 4662 может повлечь за собой генерацию большого количества событий, особенно при неаккуратной настройке SACL.
Настройка происходит в групповой политике: Computer configurations > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit Directory Service Access > Enable Success. При настройке этого параметра в журналах будут генерироваться два новых идентификатора события: 4661 и 4662.
Предварительно должен быть так же настроен SACL для отслеживания доступа к объектам AD на контроллере домена связанные с репликацией:
AD Users and Computers >
[Domain] >
properties >
security >
advanced >
auditing > add:
Principal: Everyone
Type: Success
Applies to: This Object Only
Permissions: Replicating Directory Changes; Replicating Directory Changes AllВ результате атаки фиксируется событие, в котором необходимо обратить внимание на поле:
<Data Name="Properties">%%7688 {1131f6aa-9c07-11d1-f79f-00c04fc2dcd2} {19195a5b-6da0-11d0-afd3-00c04fd930c9}</Data>- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4662</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14080</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2024-02-10T14:41:31.872715100Z" />
<EventRecordID>111044</EventRecordID>
<Correlation />
<Execution ProcessID="480" ThreadID="3808" />
<Channel>Security</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-21-1043167210-2633990363-2710869231-500</Data>
<Data Name="SubjectUserName">administrator</Data>
<Data Name="SubjectDomainName">LAB</Data>
<Data Name="SubjectLogonId">0x45440</Data>
<Data Name="ObjectServer">DS</Data>
<Data Name="ObjectType">%{19195a5b-6da0-11d0-afd3-00c04fd930c9}</Data>
<Data Name="ObjectName">%{83fb1e47-6d25-4d4b-a710-e244aca1c5e8}</Data>
<Data Name="OperationType">Object Access</Data>
<Data Name="HandleId">0x0</Data>
<Data Name="AccessList">%%7688</Data>
<Data Name="AccessMask">0x100</Data>
<Data Name="Properties">%%7688 {1131f6aa-9c07-11d1-f79f-00c04fc2dcd2} {19195a5b-6da0-11d0-afd3-00c04fd930c9}</Data>
<Data Name="AdditionalInfo">-</Data>
<Data Name="AdditionalInfo2" />
</EventData>
</Event>Пример правила для выявления атаки DCSync и в том числе DCShadow на Sigma. Дополнительный материал про DCSync.
Получение базы даных NTDS.dit
Контроллер домена отвечает за хранение базы данных домена NTDS.dit со всей информацией об объектах домена и обслуживает службы Active Directory, такие как аутентификация, авторизация, разрешение имен и т.д.
База данных хранится в файле C:\Windows\NTDS\ntds.dit на контроллере домена. Поэтому, если кто-то украдет этот файл, он сможет получить доступ ко всей информации об объектах домена (компьютерах, пользователях, группах, политиках и т.д.), включая учетные данные и хэши пользователей. Следовательно, доступ к этому файлу и к контроллерам домена должен быть ограничен администраторами домена и отслеживаться корреляционными правилам командой мониторинга SOC.
При получении доступа к учетной записи администратора домена, можно сделать дамп содержимого базы данных контроллера домена, чтобы прочитать некоторые конфиденциальные данные, такие как krbtgt учетные данные пользователя, для создания золотого билета (Golden Ticket) и дальнейшего свободного продвижения по всей Windows инфраструктуре.
Чтобы извлечь содержимое базы данных, злоумышленник может войти в систему на контроллере домена и локально выгрузить файл NTDS.dit с помощью встроенных в системе утилит ntdsutil или vssadmin. Данные утилиты нужны, потому что просто так взять и скопировать файл C:\Windows\NTDS\ntds.dit не получится так, как он используется всегда системой. Есть еще наиболее изящный для злоумышленников способов заполучить базу NTDS.dit, злоумышленник может заполучить административный доступ к системе виртуализации, где у него будет возможность сделать мгновенный снимок (SnapShot) виртуальной машины с сервером Active Directory, далее он выгружает к себе снимок виртуальной машины и делает с ним что хочет, в нашем случае, разбирает базу NTDS.dit. При этом система мониторинга уже это не сможет выявить, если только отслеживать на более раннем этапе действия учтеных записей по созданию снапшотов критичных серверов и их выгрузке из системы виртуализации. Детальнее об этом рассмотрим далее в уроке 4.4 текущего курса.
Рассмотрим вариант дампа базы NTDS.dit с помощью утилиты ntdsutil. Классическая команда выглядит следующим образом
ntdsutil "activate instance ntds" "ifm" "create full C:\Windows\Temp\NTDS" quit quitВыполнение вышеуказанной команды можно зафиксировать с помощью события создания процесса EventID=1 журнала Symon, EventID=4688 журнала Security и с помощью события запуска скриптблоков EventID=4104 журнала Powershell на контроллере домена.
Обратите ниже внимание на строку в событии c EventID=1(Sysmon)
<Data Name="CommandLine">ntdsutil "activate instance ntds" "ifm" "create full C:\Windows\Temp\NTDS" quit quit</Data>- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" />
<EventID>1</EventID>
<Version>5</Version>
<Level>4</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-02-10T09:42:40.633769700Z" />
<EventRecordID>8119972</EventRecordID>
<Correlation />
<Execution ProcessID="1604" ThreadID="2020" />
<Channel>Microsoft-Windows-Sysmon/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="RuleName">-</Data>
<Data Name="UtcTime">2024-02-10 09:42:40.602</Data>
<Data Name="ProcessGuid">{460797FE-4510-65C7-AF07-000000001800}</Data>
<Data Name="ProcessId">3856</Data>
<Data Name="Image">C:\Windows\System32\ntdsutil.exe</Data>
<Data Name="FileVersion">6.3.9600.16384 (winblue_rtm.130821-1623)</Data>
<Data Name="Description">NT5DS</Data>
<Data Name="Product">Microsoft® Windows® Operating System</Data>
<Data Name="Company">Microsoft Corporation</Data>
<Data Name="OriginalFileName">ntdsutil.exe</Data>
<Data Name="CommandLine">ntdsutil "activate instance ntds" "ifm" "create full C:\Windows\Temp\NTDS" quit quit</Data>
<Data Name="CurrentDirectory">C:\Temp\</Data>
<Data Name="User">LAB\Administrator</Data>
<Data Name="LogonGuid">{460797FE-9671-65BE-4054-040000000000}</Data>
<Data Name="LogonId">0x45440</Data>
<Data Name="TerminalSessionId">1</Data>
<Data Name="IntegrityLevel">High</Data>
<Data Name="Hashes">MD5=0741B31AF51B150DF84BFEFD4A15C624,SHA256=D2C7BD14D91124401AAC6F19DD2D2EDDA0EAAC55CFFB654583444137960EEDCA,IMPHASH=6D8CC7C1C74B6AA69C6C1F189D5781D9</Data>
<Data Name="ParentProcessGuid">{460797FE-9696-65BE-3A00-000000001800}</Data>
<Data Name="ParentProcessId">2056</Data>
<Data Name="ParentImage">C:\Windows\System32\cmd.exe</Data>
<Data Name="ParentCommandLine">"C:\Windows\system32\cmd.exe"</Data>
<Data Name="ParentUser">LAB\Administrator</Data>
</EventData>
</Event>Так же сгенерировалось событие создания файла с EventID=11 журнала Sysmon. Обратите внимание на следующие поля:
<Data Name="Image">C:\Windows\system32\ntdsutil.exe</Data>— процес который создал файл<Data Name="TargetFilename">C:\Windows\Temp\NTDS\Active Directory\ntds.dit</Data>— этот файл уже может спокойно себе скачать злоумышленник, например, для дальнейшей генерации Golden Ticket.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" />
<EventID>11</EventID>
<Version>2</Version>
<Level>4</Level>
<Task>11</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-02-10T09:42:51.306219100Z" />
<EventRecordID>8120158</EventRecordID>
<Correlation />
<Execution ProcessID="1604" ThreadID="2020" />
<Channel>Microsoft-Windows-Sysmon/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="RuleName">Suspicious</Data>
<Data Name="UtcTime">2024-02-10 09:42:51.306</Data>
<Data Name="ProcessGuid">{460797FE-4510-65C7-AF07-000000001800}</Data>
<Data Name="ProcessId">3856</Data>
<Data Name="Image">C:\Windows\system32\ntdsutil.exe</Data>
<Data Name="TargetFilename">C:\Windows\Temp\NTDS\Active Directory\ntds.dit</Data>
<Data Name="CreationUtcTime">2024-02-10 09:42:51.306</Data>
<Data Name="User">LAB\Administrator</Data>
</EventData>
</Event>Пример правила на Sigma для выявления атак связанных с кражей ntds.dit ниже.
title: Suspicious Process Patterns NTDS.DIT Exfil
id: 8bc64091-6875-4881-aaf9-7bd25b5dda08
status: test
description: Detects suspicious process patterns used in NTDS.DIT exfiltration
references:
- https://www.ired.team/offensive-security/credential-access-and-credential-dumping/ntds.dit-enumeration
- https://www.n00py.io/2022/03/manipulating-user-passwords-without-mimikatz/
- https://pentestlab.blog/tag/ntds-dit/
- https://github.com/samratashok/nishang/blob/414ee1104526d7057f9adaeee196d91ae447283e/Gather/Copy-VSS.ps1
- https://github.com/zcgonvh/NTDSDumpEx
- https://github.com/rapid7/metasploit-framework/blob/d297adcebb5c1df6fe30b12ca79b161deb71571c/data/post/powershell/NTDSgrab.ps1
- https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html?m=1
author: Florian Roth (Nextron Systems)
date: 2022/03/11
modified: 2022/11/10
tags:
- attack.credential_access
- attack.t1003.003
logsource:
product: windows
category: process_creation
detection:
selection_tool:
# https://github.com/zcgonvh/NTDSDumpEx
- Image|endswith:
- '\NTDSDump.exe'
- '\NTDSDumpEx.exe'
- CommandLine|contains|all:
# ntdsdumpex.exe -d ntds.dit -o hash.txt -s system.hiv
- 'ntds.dit'
- 'system.hiv'
- CommandLine|contains: 'NTDSgrab.ps1'
selection_oneliner_1:
# powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\temp' q q"
CommandLine|contains|all:
- 'ac i ntds'
- 'create full'
selection_onliner_2:
# cmd.exe /c copy z:\windows\ntds\ntds.dit c:\exfil\ntds.dit
CommandLine|contains|all:
- '/c copy '
- '\windows\ntds\ntds.dit'
selection_onliner_3:
# ntdsutil "activate instance ntds" "ifm" "create full c:\windows\temp\data\" "quit" "quit"
CommandLine|contains|all:
- 'activate instance ntds'
- 'create full'
selection_powershell:
CommandLine|contains|all:
- 'powershell'
- 'ntds.dit'
set1_selection_ntds_dit:
CommandLine|contains: 'ntds.dit'
set1_selection_image_folder:
- ParentImage|contains:
- '\apache'
- '\tomcat'
- '\AppData\'
- '\Temp\'
- '\Public\'
- '\PerfLogs\'
- Image|contains:
- '\apache'
- '\tomcat'
- '\AppData\'
- '\Temp\'
- '\Public\'
- '\PerfLogs\'
condition: 1 of selection* or all of set1*
falsepositives:
- Unknown
level: highРассмотрим следующий вариант дампа базы ntds.dit с помощью утилиты vssadmin. Классическая команда выглядит следующим образом vssadmin create shadow /for=C:. Выявить активность можно с помощью событий EventID=4688 журнала Security, EventID=1 журнала Sysmon.
Обратите внимание на зафиксированную командную строку в событии <Data Name="CommandLine">vssadmin create shadow /for=C:</Data>
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" />
<EventID>1</EventID>
<Version>5</Version>
<Level>4</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-02-10T12:14:55.042278500Z" />
<EventRecordID>8140166</EventRecordID>
<Correlation />
<Execution ProcessID="1604" ThreadID="2020" />
<Channel>Microsoft-Windows-Sysmon/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="RuleName">-</Data>
<Data Name="UtcTime">2024-02-10 12:14:55.026</Data>
<Data Name="ProcessGuid">{460797FE-68BF-65C7-EC07-000000001800}</Data>
<Data Name="ProcessId">860</Data>
<Data Name="Image">C:\Windows\System32\vssadmin.exe</Data>
<Data Name="FileVersion">6.3.9600.17415 (winblue_r4.141028-1500)</Data>
<Data Name="Description">Command Line Interface for Microsoft® Volume Shadow Copy Service</Data>
<Data Name="Product">Microsoft® Windows® Operating System</Data>
<Data Name="Company">Microsoft Corporation</Data>
<Data Name="OriginalFileName">VSSADMIN.EXE</Data>
<Data Name="CommandLine">vssadmin create shadow /for=C:</Data>
<Data Name="CurrentDirectory">C:\Temp\</Data>
<Data Name="User">LAB\Administrator</Data>
<Data Name="LogonGuid">{460797FE-9671-65BE-4054-040000000000}</Data>
<Data Name="LogonId">0x45440</Data>
<Data Name="TerminalSessionId">1</Data>
<Data Name="IntegrityLevel">High</Data>
<Data Name="Hashes">MD5=D9EE4ACBA0FD5AF721EC2CE5226B5E2E,SHA256=AF08DA2358D55665FAE06AE694129B5F3778989E93F5F369E0B594E1A2BC521E,IMPHASH=E29ADBD24C814ABA83B2027E5BB6C452</Data>
<Data Name="ParentProcessGuid">{460797FE-9696-65BE-3A00-000000001800}</Data>
<Data Name="ParentProcessId">2056</Data>
<Data Name="ParentImage">C:\Windows\System32\cmd.exe</Data>
<Data Name="ParentCommandLine">"C:\Windows\system32\cmd.exe"</Data>
<Data Name="ParentUser">LAB\Administrator</Data>
</EventData>
</Event>Соответственно мы обнаружим создание файла C:\Windows\Temp\ntds.dit.save в событие EventID=11 журнала Sysmon.
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" />
<EventID>11</EventID>
<Version>2</Version>
<Level>4</Level>
<Task>11</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-02-10T12:19:54.526660200Z" />
<EventRecordID>8140853</EventRecordID>
<Correlation />
<Execution ProcessID="1604" ThreadID="2020" />
<Channel>Microsoft-Windows-Sysmon/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="RuleName">Executable</Data>
<Data Name="UtcTime">2024-02-10 12:19:54.526</Data>
<Data Name="ProcessGuid">{460797FE-9696-65BE-3A00-000000001800}</Data>
<Data Name="ProcessId">2056</Data>
<Data Name="Image">C:\Windows\system32\cmd.exe</Data>
<Data Name="TargetFilename">C:\Windows\Temp\ntds.dit.save</Data>
<Data Name="CreationUtcTime">2024-02-10 12:19:54.526</Data>
<Data Name="User">LAB\Administrator</Data>
</EventData>
</Event>Для заметания следов следующим шагом злоумышленник может выполнить команду:
vssadmin delete shadows /shadow={e1f24f05-c919-4f96-ac60-fad4bfb07459}Обратите внимание на зафиксированную команду в событии:
<Data Name="CommandLine">vssadmin delete shadows /shadow={e1f24f05-c919-4f96-ac60-fad4bfb07459}</Data>- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" />
<EventID>1</EventID>
<Version>5</Version>
<Level>4</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-02-10T12:25:31.136231200Z" />
<EventRecordID>8141617</EventRecordID>
<Correlation />
<Execution ProcessID="1604" ThreadID="2020" />
<Channel>Microsoft-Windows-Sysmon/Operational</Channel>
<Computer>WIN-O6QVDOTOFCA.lab.local</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="RuleName">-</Data>
<Data Name="UtcTime">2024-02-10 12:25:31.136</Data>
<Data Name="ProcessGuid">{460797FE-6B3B-65C7-F207-000000001800}</Data>
<Data Name="ProcessId">3332</Data>
<Data Name="Image">C:\Windows\System32\vssadmin.exe</Data>
<Data Name="FileVersion">6.3.9600.17415 (winblue_r4.141028-1500)</Data>
<Data Name="Description">Command Line Interface for Microsoft® Volume Shadow Copy Service</Data>
<Data Name="Product">Microsoft® Windows® Operating System</Data>
<Data Name="Company">Microsoft Corporation</Data>
<Data Name="OriginalFileName">VSSADMIN.EXE</Data>
<Data Name="CommandLine">vssadmin delete shadows /shadow={e1f24f05-c919-4f96-ac60-fad4bfb07459}</Data>
<Data Name="CurrentDirectory">C:\Temp\</Data>
<Data Name="User">LAB\Administrator</Data>
<Data Name="LogonGuid">{460797FE-9671-65BE-4054-040000000000}</Data>
<Data Name="LogonId">0x45440</Data>
<Data Name="TerminalSessionId">1</Data>
<Data Name="IntegrityLevel">High</Data>
<Data Name="Hashes">MD5=D9EE4ACBA0FD5AF721EC2CE5226B5E2E,SHA256=AF08DA2358D55665FAE06AE694129B5F3778989E93F5F369E0B594E1A2BC521E,IMPHASH=E29ADBD24C814ABA83B2027E5BB6C452</Data>
<Data Name="ParentProcessGuid">{460797FE-9696-65BE-3A00-000000001800}</Data>
<Data Name="ParentProcessId">2056</Data>
<Data Name="ParentImage">C:\Windows\System32\cmd.exe</Data>
<Data Name="ParentCommandLine">"C:\Windows\system32\cmd.exe"</Data>
<Data Name="ParentUser">LAB\Administrator</Data>
</EventData>
</Event> Далее злоумышленник любым из возможных способов может забрать к себе файл C:\Windows\Temp\ntds.dit.save.
Действия при компроментации системы
- Сбросьте все пароли учетных записей пользователей:
- сбросьте дважды (с интервалом не менее восьми часов) пароль пользователя KRBTGT;
- сбросить все пароли администратора;
- сбросить пароли всех сервисных учетных записей;
- сбросить все пароли учетных записей компьютеров.
- Проверьте значение параметра срока жизни пароля для компьютеров. Злоумышленники могут изменить этот срок, чтобы предоставить себе доступ с использованием машинных хэшей на более длительный срок.
- Сбросить все пароли LAPS.
- Сбросить разрешения для объекта AdminSDHolders.
- Удалить у всех администраторов домена и администраторов систем все данные из атрибута msDS-KeyCredentialLink.
- Занести всех администраторов домена и администраторов систем в группу Protected Users.
- Отозвать и перевыпустить все сертификаты ADCS.
- Проверьте наличие вредоносных запланированных задач.
- Проверьте наличие вредоносных автозапусков или других механизмов сохранения на основе реестра.
- Проверьте наличие бэкдоров в стиле utilman.
- Проверьте наличие вредоносных принтеров/драйверов принтеров.
- Просмотрите права делегированного доступа Active Directory (RBCD Bakdoors).
- Ротация сертификатов подписи токенов ADFS и сертификатов расшифровки токенов.
- Проверьте дескрипторы безопасности Service Control Manager (SCM).
- Проверьте наличие изменений объекта в соответствии с первоначальными временными рамками доступа/событий.
- Проверка членства в группах на соответствие известным базовым показателям.
- Просмотрите сценарии входа в GPO и SYSVOL.
- Просмотрите домены и доверительные отношения Active Directory.
- Установить все последние обновления безопасности.
No comments to display
No comments to display