場景說明
Alonzo 在他的電腦上發現了一些奇怪的文件,並通知了新組建的 SOC 團隊。評估情況後,人們認為網絡中可能發生了 Kerberoasting 攻擊。你的任務是通過分析提供的證據來確認這些發現。你提供的信息有:1、來自域控制器的安全日誌 2、來自受影響工作站的 PowerShell - 操作日誌 3、來自受影響工作站的 prefetch 文件
附件內容如下,域控的日誌,powershell 日誌,prefetch 文件。
Task1 分析域控制器安全日誌,能否確認發生 Kerberoasting 活動的確切日期和時間?
Kerberoasting 的事件 id 為 4768 和 4769,4769 表示已請求 Kerberos 票據,4768 表示 Kerberos TGS 請求
下述圖片搜索 4769,Ticket Encryption Type 為 0x17,其他的均為 0x12
注意時區:2024-05-21 03:18:09
Task2 被針對的服務名稱是什麼?
通過EvtxECmd對 evtx 日誌進行提取,然後通過 jq 進行過濾,過濾 4769 的 EventID,如下:
cat 20240814082222_EvtxECmd_Output.json | jq . -c | jq '. | select( .EventId==4769) | "\(.MapDescription) \(.TimeCreated) \(.PayloadData2)"'
可以知道有個MSSQLService服務
Task3 確定這項活動發生的工作站非常重要。這個工作站的 IP 地址是什麼?
cat 20240814082222_EvtxECmd_Output.json | jq . -c | jq '. | select( .EventId==4769) | "\(.MapDescription) \(.TimeCreated) \(.PayloadData2) \(.RemoteHost)"'
172.17.79.129
Task4 既然我們已經鎖定了工作站,為了更深入地了解這一活動是如何在該設備上發生的,我們為您提供了包括 PowerShell 日誌和預取文件在內的初步分析。那么,用於列舉活動目錄對象,並且可能用於發現網絡中可進行 Kerberoast 攻擊的賬戶的文件,它的名稱是什麼呢?
powerview.ps1
Task5 這個腳本是什麼時候執行的?
2024-05-21 03:16:32
Task6 執行實際 Kerberoasting 攻擊所用工具的完整路徑是什麼?
分析 RUBEUS.EXE-5873E24B.pf 文件
C:\Users\alonzo.spire\Downloads\Rubeus.exe
Task7 工具是在何時執行以轉儲憑據的?
查看 RUBEUS.EXE-5873E24B.pf 文件的運行時間
2024-05-21 03:18:08
