Wir haben den Prozess der Reaktion auf Vorfälle und die Schritte zur Untersuchung und Wiederherstellung eines infizierten Windows Active Directory-Systems behandelt. Wir haben Powerview und Eventviewer verwendet, um die vom Angreifer ausgeführten Aktionen zu untersuchen, z. B. erstellte/geänderte Benutzer, Änderungen an Gruppenrichtlinien und andere Ereignisse wie Datum und Uhrzeit. Dies war Teil von TryHackMe stellt Active Directory wieder her.

Holen Sie sich Prüfungsunterlagen für COMPTIA Security+

Raumantworten

Welche Arten von Sicherungen können mit dem Dienstprogramm „Windows Server-Sicherung“ abgerufen werden (schreiben Sie nur die richtige Option)? A: Einmal B: Inkrementell C: Sowohl A als auch B.

Wie starten Sie das Windows Server-Sicherungsprogramm über das Dialogfeld „Ausführen“?

Ist es eine gute Praxis, die infizierte Netzwerkinfrastruktur für eine detaillierte Netzwerküberwachung zu isolieren? (Ja/Nein).
Wie viele Maschinen in der Domäne können Sie finden, wenn Sie PowerView verwenden?

Wie heißt das Dienstprogramm in Windows, das alle Ereignisse anzeigt und verfolgt?

Wie lautet die E-Mail-Adresse des Benutzers evil.guy?

Wie hoch ist die Gesamtzahl der Benutzer, die sich nach dem 1. Dezember 2022 angemeldet haben?

Welche Ereignis-ID wird protokolliert, wenn ein Benutzer aus einer universellen Sicherheitsgruppe entfernt wird?

Setzen Sie das Passwort für den Benutzer evil.guy zurück.

Wie lautet der Befehl zum Zurücksetzen des Kennworts für einen Computer in der Domäne?

Was ist die Sicherheitslücke, die mit dem Missbrauch verbunden ist Kerberos Servicetickets aufgerufen?

Wie heißt der Angriffstyp, der es Angreifern ermöglicht, sich als Domänencontroller auszugeben und im Namen des Domänencontrollers Anfragen zu empfangen/weiterzuleiten?

Ist die Synchronisierung der Zeit auf allen Netzwerkgeräten wichtig, um Protokolle auf verschiedenen Geräten zu korrelieren? (Ja/Nein).

Klicken Sie oben in der Aufgabe auf die Schaltfläche „Site anzeigen“, um die statische Site in der geteilten Ansicht zu starten. Was ist die Flagge nach Abschluss der Übung?

Video-Transkript

Im heutigen Video versetzen Sie sich in die Lage eines Incident Response Analyst und übernehmen die Aufgabe, einen infizierten Windows Active Directory-Rechner wiederherzustellen. Im Grunde aktivieren Sie den Incident Response Plan. Sie erhalten also einen Anruf von Ihrem Kollegen, der Ihnen mitteilt, dass er seltsame Dinge auf dem Active Directory-Rechner oder vielleicht auf seinem Rechner beobachtet, der Teil des Domänencontrollers ist. Sie möchten sich also diesen infizierten Rechner ansehen und sofort Maßnahmen ergreifen, um ihn zu isolieren.
dann ggf. die Maschine beseitigen und wiederherstellen.

Zuerst erstellen wir eine Sicherungskopie des Computers, da alle durchzuführenden Analysen auf einer geklonten Kopie des infizierten Computers durchgeführt werden.
Zuvor haben wir Volatilität und Memdump verwendet, um einen Klon des Speichers des infizierten Systems unter Linux zu erstellen. Da dies jedoch eine Windows-Maschine ist, führen wir die Sicherung mit dem lokalen Sicherungsdienst von Windows Server durch. Klicken Sie also einmal auf „Sicherung planen“, und gehen Sie die Optionen durch. Wir wählen also „Vollständige Serversicherung“, wenn an das Gerät oder den Domänencontroller ein externer Speicher angeschlossen wäre. Sie wählen „Benutzerdefiniert“ und hier wählen Sie „Bare Metal“, aber da dies eine Labormaschine ist, werden diese Dinge hier nicht angezeigt. Also gehen wir zurück und wählen „Vollständiger Server“. Sobald wir das System gesichert haben, mounten wir es auf einem anderen System, das für die Reaktion auf Vorfälle und forensische Analysen vorgesehen ist und auf dem VMware installiert ist.

Stellen Sie sicher, dass die Maschine vom Netzwerk und vom Internet getrennt ist. Sie möchten während der Analyse keine Kommunikation mit einem C2-Server. Alles klar.
Damit haben wir das Backup erstellt und die Maschine vom Netzwerk isoliert. Jetzt ist es an der Zeit, eine Analyse durchzuführen. Okay, wir gehen also davon aus, dass wir jetzt die Analyse an der geklonten Kopie durchführen.
Wir möchten die Aktionen identifizieren, die der Angreifer seit der Kompromittierung des Computers durchgeführt hat. Daher verwenden wir speziell Powershell powerview.ps1 die zum Aufzählen von Windows-Computern verwendet wird, die Teil eines Domänencontrollers sind.

Nützliche Befehle zur Verwendung von powerview.ps1

Import-Modul powerview.ps1

Get-NetDomainController

Get-NetLoggedon

NetSession abrufen

Get-NetComputer

Und wir werden die Windows-Ereignisanzeige verwenden, um die vom Angreifer an Gruppenrichtlinieneinstellungen vorgenommenen Änderungen zu verfolgen, wie z. B. Ereignis-ID 4719 wird assoziiert mit Richtlinienänderung, was bedeutet, dass, wenn ein gültiger oder ungültiger Benutzer versucht, die Systemüberwachungsrichtlinie zu aktualisieren, diese Aktion ein Ereignisprotokoll mit Nr. 4719. Ebenso die Ereignis-ID 4739 ist mit einer Änderung der Domänenrichtlinie verbunden.

Um die Änderungen der Gruppenmitgliedschaft zu überprüfen, können wir die Ereignisprotokolle anzeigen und nach den spezifischen Ereignis-IDs suchen, die in bestimmten Szenarien generiert werden. Nachfolgend finden Sie eine Liste der interessantesten Ereignis-IDs:
  • AUSWEIS 4756: Mitglied zu einer universellen Sicherheitsgruppe hinzugefügt.
  • AUSWEIS 4757: Mitglied aus einer universellen Sicherheitsgruppe entfernt.
  • AUSWEIS 4728: Mitglied zu einer globalen Sicherheitsgruppe hinzugefügt.
  • AUSWEIS 4729: Mitglied aus einer globalen Sicherheitsgruppe entfernt.

Um die infizierte Maschine wiederherzustellen, führen wir die folgenden Schritte aus

  • Setzen Sie das Passwort für Tier 0-Konten zurück. Sie können ein Konto zurücksetzen oder deaktivieren, indem Sie einfach die gewünschte Option auswählen.
  • Suchen Sie nach möglicherweise kompromittierten (verdächtigen) Konten und setzen Sie deren Passwörter zurück, um eine Rechteausweitung zu vermeiden.
  • Ändern Sie das Passwort für das Kerberos-Dienstkonto und machen Sie es für den Angreifer unbrauchbar.
  • Setzen Sie die Passwörter von Konten mit Administratorrechten zurück.
  • Verwenden Sie die Zurücksetzen des Computer-Maschinen-Passworts PowerShell-Befehl zum Durchführen von Reset-Vorgängen für Computerobjekte in der Domäne.
  • Setzen Sie das Passwort des Domänencontroller-Rechners zurück, um Missbrauch von Silver Tickets zu verhindern. Weitere Informationen zu den verschiedenen Arten von Kerberos-basierten Angriffen finden Sie hier. Hier.
  • Domänencontroller sind das wesentliche Element für Schutz und Wiederherstellung. Wenn Sie einen beschreibbaren Domänencontroller (DC) als Backup für einen kompromittierten konfiguriert haben, können Sie ihn wiederherstellen, um Störungen zu vermeiden (Seien Sie bei diesem Schritt vorsichtig. Stellen Sie keine Instanz eines kompromittierten DC wieder her).
  • Führen Sie auf jedem Zieldomänencontrollerserver eine Malware-Analyse durch, um schädliche Skripts zu identifizieren.
  • Stellen Sie sicher, dass der Angreifer keine geplanten Aufgaben oder Startanwendungen für den dauerhaften Zugriff hinzugefügt hat. Sie können auf den Aufgabenplaner zugreifen über Ausführen > taskschd.msc

Lehren aus dem Vorfall

Politische Entscheidungen
  • Ein detaillierter Cybersicherheitsplan muss im Einklang mit einigen internationalen Rahmenbedingungen entwickelt werden, wie NIST.
  • Entwickeln Sie eine Notfallmanagementstrategie, um solche Angriffe in Zukunft zu vermeiden.
  • Detailliertes Cybersicherheitsaudit der Infrastruktur, um den Infektionsvektor des Vorfalls zu lokalisieren und die Grundursache zu ermitteln.
  • Stellen Sie sicher, dass Protokolle von allen Servern, Computern und Netzwerkgeräten verwaltet und an eine seriöse SIEM-Lösung weitergeleitet werden.
Domänencontroller
  • Hinzufügen permanenter Regeln in SIEM, um vom Angreifer verwendete Command-and-Control-Domänen (C2) und IP-Adressen zu blockieren.
  • Patchen aller anfälligen Systeme, um die Ausnutzung von Systemen durch öffentlich verfügbare Exploits zu verhindern.
  • Führen Sie einen gründlichen Malware-Scan aller Domänencontroller und der Domäne beigetretenen Systeme durch.
  • Führen Sie Betriebssystem-Upgrades auf die neueste Version von Windows Server durch, da diese mehr Sicherheitsfunktionen bietet, wie z. B. AES-Verschlüsselung und Unterstützung rote architektur effizienter.
  • Entfernen Sie die Dateifreigaben auf den Domänencontrollern.
  • Deaktivieren Sie die Verwendung von Wechseldatenträgern auf Hostcomputern, da Angreifer die Schadsoftware im gesamten Netzwerk verbreiten könnten.
Backups 
  • Das Organisationsnetzwerk muss über redundante Domänencontroller mit hoher Verfügbarkeit verfügen (primäres/sekundäres Layout).
  • Implementieren Sie automatisierte Sicherungs- und Wiederherstellungsmechanismen.
  • Regelmäßiges Überprüfen der vertrauenswürdigen Backups zur Bestätigung der Integrität.

Video-Komplettlösung

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen