Forela 的域控制器受到攻擊。域管理員帳戶疑似洩漏,並且攻擊者將 NTDS.dit 資料庫轉儲到 DC 上。我們剛剛收到在 DC 上 vssadmin 的警報,因為這不是例行檢查計劃的內容,我們有充分的理由相信攻擊者濫用了這個 LOLBIN 實用程式來獲取域環境的皇冠上的寶石。對提供的工件進行一些分析,以便快速分類,如果可能的話,盡早踢掉攻擊者。
Task1 攻擊者可能會利用 vssadmin 這個實用程式創建卷影副本快照,並通過這種方式提取敏感文件,例如 NTDS.dit 文件,來規避安全防護措施。需要確定卷影複製服務何時開始運行。
分析 SYSTEM 日誌,過濾事件 7036ID,查找 Volume Shadow Copy 處於 running 狀態的記錄
減去 8 個時區,得到 2024-05-14 03:42:16
Task2 在創建卷影副本快照的過程中,卷影副本服務會利用計算機帳戶來驗證權限,並列出所有用戶組。我們需要找出服務所列出的用戶組,主體帳戶的名稱,以及卷影副本服務進程的進程標識符(PID),這個標識符是以十進制形式表示的。
查找事件 ID 為 4799 的條目,找 VSSVC.exe 內容
有兩個用戶組,一個帳戶名稱
Administrators, Backup Operators, DC01$
注意:提交答案需要加空格,一直不知道格式卡住
Task3 標識卷影複製服務進程的進程 ID(十進制)。
0x1190 轉成 10 進制
Task4 查找載入卷影副本快照時為其分配的卷 ID/GUID 值。
打開 NTFS 日誌文件,搜索事件 ID 為 9
{06c4a997-cca8-11ed-a90f-000c295644f9}
Task5 確定磁盤上轉儲的 NTDS 數據庫的完整路徑。
利用 MFTExlorer 打開 $MFT 文件
C:\Users\Administrator\Documents\backup_sync_dc\ntds.dit
Task6 新轉儲的 ntds.dit 是什麼時候在磁盤上創建的?
同上
2024-05-14 03:44:22
Task7 註冊表配置單元也與 NTDS 數據庫一起轉儲。轉儲了哪個註冊表配置單元以及其文件大小(以字節為單位)是多少?
同上
SYSTEM, 17563648
注:提交答案,也要注意空格