Forela 的域控制器受到攻击。域管理员帐户疑似泄露,并且攻击者将 NTDS.dit 数据库转储到 DC 上。我们刚刚收到在 DC 上 vssadmin 的警报,因为这不是例行检查计划的内容,我们有充分的理由相信攻击者滥用了这个 LOLBIN 实用程序来获取域环境的皇冠上的宝石。对提供的工件进行一些分析,以便快速分类,如果可能的话,尽早踢掉攻击者。
Task1 攻击者可能会利用 vssadmin 这个实用程序创建卷影副本快照,并通过这种方式提取敏感文件,例如 NTDS.dit 文件,来规避安全防护措施。需要确定卷影复制服务何时开始运行。
分析 SYSTEM 日志,过滤事件 7036ID,查找 Volume Shadow Copy 处于 running 状态的记录
减去 8 个时区,得到 2024-05-14 03:42:16
Task2 在创建卷影副本快照的过程中,卷影副本服务会利用计算机账户来验证权限,并列出所有用户组。我们需要找出服务所列出的用户组,主体账户的名称,以及卷影副本服务进程的进程标识符(PID),这个标识符是以十进制形式表示的。
查找事件 ID 为 4799 的条目,找 VSSVC.exe 内容
有两个用户组,一个账户名称
Administrators, Backup Operators, DC01$
注意:提交答案需要加空格,一直不知道格式卡住
Task3 标识卷影复制服务进程的进程 ID(十进制)。
0x1190 转成 10 进制
Task4 查找装载卷影副本快照时为其分配的卷 ID/GUID 值。
打开 NTFS 日志文件,搜索事件 ID 为 9
{06c4a997-cca8-11ed-a90f-000c295644f9}
Task5 确定磁盘上转储的 NTDS 数据库的完整路径。
利用 MFTExlorer 打开 $MFT 文件
C:\Users\Administrator\Documents\backup_sync_dc\ntds.dit
Task6 新转储的 ntds.dit 是什么时候在磁盘上创建的?
同上
2024-05-14 03:44:22
Task7 注册表配置单元也与 NTDS 数据库一起转储。转储了哪个注册表配置单元以及其文件大小(以字节为单位)是多少?
同上
SYSTEM, 17563648
注:提交答案,也要注意空格