场景说明
Alonzo 在他的电脑上发现了一些奇怪的文件，并通知了新组建的 SOC 团队。评估情况后，人们认为网络中可能发生了 Kerberoasting 攻击。你的任务是通过分析提供的证据来确认这些发现。你提供的信息有：1、来自域控制器的安全日志 2、来自受影响工作站的 PowerShell-操作日志 3、来自受影响工作站的prefetch文件

附件内容如下，域控的日志，powershell日志，prefetch文件。

Task1 分析域控制器安全日志，能否确认发生 Kerberoasting 活动的确切日期和时间？

Kerberoasting的事件id为4768和4769，4769表示已请求Kerberos票据，4768表示Kerberos TGS请求

下述图片搜索4769，Ticket Encryption Type为0x17，其他的均为0x12

注意时区：2024-05-21 03:18:09

Task2 被针对的服务名称是什么？

通过EvtxECmd对evtx日志进行提取，然后通过jq进行过滤，过滤4769的EventID，如下：

cat 20240814082222_EvtxECmd_Output.json | jq . -c | jq '. | select( .EventId==4769) | "\(.MapDescription) \(.TimeCreated) \(.PayloadData2)"'

可以知道有个MSSQLService服务

Task3 确定这项活动发生的工作站非常重要。这个工作站的IP地址是什么？

cat 20240814082222_EvtxECmd_Output.json | jq . -c | jq '. | select( .EventId==4769) | "\(.MapDescription) \(.TimeCreated) \(.PayloadData2) \(.RemoteHost)"'

172.17.79.129

Task4 既然我们已经锁定了工作站，为了更深入地了解这一活动是如何在该设备上发生的，我们为您提供了包括PowerShell日志和预取文件在内的初步分析。那么，用于列举活动目录对象，并且可能用于发现网络中可进行Kerberoast攻击的账户的文件，它的名称是什么呢？

powerview.ps1

Task5 这个脚本是什么时候执行的？

2024-05-21 03:16:32

Task6 执行实际 Kerberoasting 攻击所用工具的完整路径是什么？

分析RUBEUS.EXE-5873E24B.pf文件

C:\Users\alonzo.spire\Downloads\Rubeus.exe

Task7 工具是在何时执行以转储凭据的？

查看RUBEUS.EXE-5873E24B.pf文件的运行时间

2024-05-21 03:18:08