Forela のドメインコントローラーが攻撃を受けました。ドメイン管理者アカウントが漏洩した可能性があり、攻撃者が NTDS.dit データベースを DC にダンプしました。私たちはちょうど DC 上で vssadmin の警告を受け取りました。これは通常のスケジュールされたチェックではないため、攻撃者がこの LOLBIN ユーティリティを悪用してドメイン環境のクラウンジュエルを入手したという十分な理由があると考えています。提供されたアーティファクトを分析して、攻撃者を早期に特定し、可能な限り早く排除するためにいくつかの分析を行ってください。
Task1 攻撃者は vssadmin ユーティリティを使用してシャドウコピーを作成し、この方法でセキュリティ対策を回避するために、NTDS.dit ファイルなどの機密ファイルを抽出する可能性があります。シャドウコピーサービスがいつ実行され始めたかを特定する必要があります。
SYSTEM ログを分析し、実行中の状態で Volume Shadow Copy のレコードをフィルタリングして、イベント 7036ID を検索します。
8 つのタイムゾーンを引いて、2024-05-14 03:42:16 を得ます。
Task2 シャドウコピーサービスは、シャドウコピーの作成中にコンピューターアカウントを使用して権限を検証し、すべてのユーザーグループをリストアップします。サービスがリストアップしたユーザーグループ、プリンシパルアカウントの名前、およびシャドウコピーサービスプロセスのプロセス ID(PID)を特定する必要があります。この ID は 10 進数で表されます。
イベント ID4799 のエントリを検索し、VSSVC.exe の内容を見つけます。
2 つのユーザーグループ、1 つのアカウント名があります。
Administrators, Backup Operators, DC01$
注意:回答を提出する際は、スペースを追加する必要があります。フォーマットが詰まってしまっていました
Task3 シャドウコピーサービスプロセスのプロセス ID(10 進数)を特定します。
0x1190 を 10 進数に変換します。
Task4 シャドウコピーサービスに割り当てられたボリューム ID/GUID 値を特定します。
NTFS ログファイルを開き、イベント ID9 を検索します。
{06c4a997-cca8-11ed-a90f-000c295644f9}
Task5 ディスク上のダンプされた NTDS データベースの完全なパスを特定します。
MFTExlorer を使用して $MFT ファイルを開きます。
C:\Users\Administrator\Documents\backup_sync_dc\ntds.dit
Task6 新しくダンプされた ntds.dit はいつディスク上に作成されましたか?
同上
2024-05-14 03:44:22
Task7 レジストリ構成ユニットも NTDS データベースと一緒にダンプされました。どのレジストリ構成ユニットがダンプされ、そのファイルサイズ(バイト単位)はいくつですか?
同上
SYSTEM、17563648
注:回答を提出する際も、スペースに注意してください。