Forela のドメインコントローラーが攻撃を受けました。ドメイン管理者アカウントが漏洩した可能性があり、攻撃者が NTDS.dit データベースを DC にダンプしました。私たちはちょうど DC で vssadmin のアラートを受け取りましたが、これは定期的なチェックスケジュールではないため、攻撃者がこの LOLBIN ユーティリティを悪用してドメイン環境のクラウンジュエルを入手したという十分な理由があります。提供されたアーティファクトを分析して、攻撃者を早期に特定し、可能な限り早く排除します。
Task1 攻撃者は vssadmin ユーティリティを使用してシャドウコピーを作成し、この方法でセキュリティ対策を回避するために、NTDS.dit ファイルなどの機密ファイルを抽出する可能性があります。シャドウコピーサービスがいつ実行されるかを特定する必要があります。
SYSTEM ログを分析し、実行中の Volume Shadow Copy のレコードをフィルタリングしてイベント 7036ID を検索します。
8 つのタイムゾーンを引いて、2024-05-14 03:42:16 を得ます。
Task2 シャドウコピーサービスは、シャドウコピーの作成中にコンピューターアカウントを使用して権限を検証し、すべてのユーザーグループをリストアップします。サービスがリストアップしたユーザーグループ、プリンシパルアカウントの名前、およびシャドウコピーサービスプロセスのプロセス ID(PID)を特定する必要があります。この識別子は 10 進数で表されます。
イベント ID4799 のエントリを検索し、VSSVC.exe の内容を見つけます。
2 つのユーザーグループ、1 つのアカウント名があります。
Administrators, Backup Operators, DC01$
注意:回答を提出する際には、スペースを追加する必要があります。フォーマットに詰まっていました
Task3 シャドウコピーサービスプロセスのプロセス ID を特定します(10 進数)。
0x1190 を 10 進数に変換します。
Task4 シャドウコピーの作成時に割り当てられたボリューム ID/GUID 値を特定します。
NTFS ログファイルを開き、イベント ID9 を検索します。
{06c4a997-cca8-11ed-a90f-000c295644f9}
Task5 ディスク上のダンプされた NTDS データベースの完全なパスを特定します。
MFTExlorer を使用して $MFT ファイルを開きます。
C:\Users\Administrator\Documents\backup_sync_dc\ntds.dit
Task6 新しくダンプされた ntds.dit はいつディスク上に作成されましたか?
同上
2024-05-14 03:44:22
Task7 レジストリ構成ユニットも NTDS データベースと一緒にダンプされました。どのレジストリ構成ユニットがダンプされ、そのファイルサイズ(バイト単位)はいくつですか?
同上
SYSTEM、17563648
注:回答を提出する際にも、スペースに注意してください。