Forela的域控制器受到攻击。域管理员帐户疑似泄露,并且攻击者将NTDS.dit数据库转储到DC上。我们刚刚收到在DC上vssadmin的警报,因为这不是例行检查计划的内容,我们有充分的理由相信攻击者滥用了这个LOLBIN实用程序来获取域环境的皇冠上的宝石。对提供的工件进行一些分析,以便快速分类,如果可能的话,尽早踢掉攻击者。
Task1 攻击者可能会利用vssadmin这个实用程序创建卷影副本快照,并通过这种方式提取敏感文件,例如NTDS.dit文件,来规避安全防护措施。需要确定卷影复制服务何时开始运行。
分析SYSTEM日志,过滤事件7036ID,查找Volume Shadow Copy处于running状态的记录
减去8个时区,得到2024-05-14 03:42:16
Task2 在创建卷影副本快照的过程中,卷影副本服务会利用计算机账户来验证权限,并列出所有用户组。我们需要找出服务所列出的用户组,主体账户的名称,以及卷影副本服务进程的进程标识符(PID),这个标识符是以十进制形式表示的。
查找事件ID为4799的条目,找VSSVC.exe内容
有两个用户组,一个账户名称
Administrators, Backup Operators, DC01$
注意:提交答案需要加空格,一直不知道格式卡住
Task3 标识卷影复制服务进程的进程ID(十进制)。
0x1190转成10进制
Task4 查找装载卷影副本快照时为其分配的卷ID/GUID值。
打开NTFS日志文件,搜索事件ID为9
{06c4a997-cca8-11ed-a90f-000c295644f9}
Task5 确定磁盘上转储的 NTDS 数据库的完整路径。
利用MFTExlorer打开$MFT文件
C:\Users\Administrator\Documents\backup_sync_dc\ntds.dit
Task6 新转储的ntds.dit是什么时候在磁盘上创建的?
同上
2024-05-14 03:44:22
Task7 注册表配置单元也与NTDS数据库一起转储。转储了哪个注册表配置单元以及其文件大小(以字节为单位)是多少?
同上
SYSTEM, 17563648
注:提交答案,也要注意空格