场景说明
Alonzo 在他的电脑上发现了一些奇怪的文件,并通知了新组建的 SOC 团队。评估情况后,人们认为网络中可能发生了 Kerberoasting 攻击。你的任务是通过分析提供的证据来确认这些发现。你提供的信息有:1、来自域控制器的安全日志 2、来自受影响工作站的 PowerShell - 操作日志 3、来自受影响工作站的 prefetch 文件
附件内容如下,域控的日志,powershell 日志,prefetch 文件。
Task1 分析域控制器安全日志,能否确认发生 Kerberoasting 活动的确切日期和时间?
Kerberoasting 的事件 id 为 4768 和 4769,4769 表示已请求 Kerberos 票据,4768 表示 Kerberos TGS 请求
下述图片搜索 4769,Ticket Encryption Type 为 0x17,其他的均为 0x12
注意时区:2024-05-21 03:18:09
Task2 被针对的服务名称是什么?
通过EvtxECmd对 evtx 日志进行提取,然后通过 jq 进行过滤,过滤 4769 的 EventID,如下:
cat 20240814082222_EvtxECmd_Output.json | jq . -c | jq '. | select( .EventId==4769) | "\(.MapDescription) \(.TimeCreated) \(.PayloadData2)"'
可以知道有个MSSQLService服务
Task3 确定这项活动发生的工作站非常重要。这个工作站的 IP 地址是什么?
cat 20240814082222_EvtxECmd_Output.json | jq . -c | jq '. | select( .EventId==4769) | "\(.MapDescription) \(.TimeCreated) \(.PayloadData2) \(.RemoteHost)"'
172.17.79.129
Task4 既然我们已经锁定了工作站,为了更深入地了解这一活动是如何在该设备上发生的,我们为您提供了包括 PowerShell 日志和预取文件在内的初步分析。那么,用于列举活动目录对象,并且可能用于发现网络中可进行 Kerberoast 攻击的账户的文件,它的名称是什么呢?
powerview.ps1
Task5 这个脚本是什么时候执行的?
2024-05-21 03:16:32
Task6 执行实际 Kerberoasting 攻击所用工具的完整路径是什么?
分析 RUBEUS.EXE-5873E24B.pf 文件
C:\Users\alonzo.spire\Downloads\Rubeus.exe
Task7 工具是在何时执行以转储凭据的?
查看 RUBEUS.EXE-5873E24B.pf 文件的运行时间
2024-05-21 03:18:08
