Cubrimos el proceso de respuesta a incidentes y los pasos tomados para investigar y recuperar un sistema de directorio activo de Windows infectado. Usamos Powerview y Eventviewer para investigar las acciones tomadas por el atacante, como usuarios creados/modificados, cambios en la política de grupo y otros eventos como fecha y hora. . Esto fue parte de TryHackMe recuperando el directorio activo.

Obtenga notas del examen COMPTIA Security+

Respuestas de la habitación

¿Qué tipo de copias de seguridad se pueden obtener de la utilidad Copia de seguridad de Windows Server (escriba sólo la opción correcta)? A: Una vez B: incremental C: Tanto a como B.

¿Cómo iniciaría la utilidad Copia de seguridad de Windows Server a través del cuadro de diálogo Ejecutar?

¿Es una buena práctica aislar la infraestructura de red infectada para realizar un monitoreo detallado de la red? (sí/no).
¿Cuántas máquinas en el dominio puedes encontrar cuando usas PowerView?

¿Cuál es el nombre de la utilidad en Windows que muestra y realiza un seguimiento de todos los eventos?

¿Cuál es la dirección de correo electrónico del usuario evil.guy?

¿Cuál es el número total de usuarios que iniciaron sesión después del 1 de diciembre de 2022?

¿Qué ID de evento se registrará si se elimina a un usuario de un grupo de seguridad universal?

Restablezca la contraseña del usuario evil.guy.

¿Cuál es el comando para realizar la operación de restablecimiento de contraseña para una computadora en el dominio?

¿Cuál es la vulnerabilidad de seguridad que implica abusar? Kerberos ¿Se llaman boletos de servicio?

¿Se llama el tipo de ataque que permite a los atacantes hacerse pasar por un controlador de dominio y recibir/reenviar solicitudes en nombre del controlador de dominio?

¿Es importante sincronizar la hora en todos los dispositivos de la red para correlacionar registros en diferentes dispositivos? (sí/no).

Haga clic en el botón Ver sitio en la parte superior de la tarea para iniciar el sitio estático en vista dividida. ¿Qué es la bandera después de completar el ejercicio?

Transcripción del vídeo

Entonces, en el video de hoy, se pondrá en el lugar de un analista de respuesta a incidentes y abordará la tarea de recuperar una máquina de directorio activo de Windows infectada. Básicamente vas a activar el plan de respuesta a incidentes. Entonces, recibe una llamada de su colega informándole que está presenciando algunas cosas extrañas que suceden en la máquina del directorio activo o tal vez en su máquina que es parte del controlador de dominio. Entonces desea echar un vistazo a esta máquina infectada y desea realizar una acción inmediata para aislarla.
Entonces tal vez elimine y recupere la máquina.

Primero, haremos una copia de seguridad de la máquina porque todos los análisis que se realizarán se realizarán en una copia clonada de la máquina infectada.
Anteriormente utilizamos volatility y Memdump para realizar un clon de la memoria del sistema infectado en el sistema operativo Linux. Pero como se trata de una máquina con Windows, realizaremos la copia de seguridad utilizando el servicio de copia de seguridad local de Windows Server. Entonces, usando la copia de seguridad, programamos la copia de seguridad una vez que hacemos clic en eso y revisamos las opciones. Entonces, vamos a seleccionar una copia de seguridad completa del servidor si fuera algún almacenamiento externo conectado al dispositivo o al controlador de dominio, elegirá la opción personalizada y aquí seleccionará bare metal, pero dado que esto es un laboratorio máquina, estas cosas no aparecen aquí. Así que regresaremos y seleccionaremos el servidor completo. Una vez que tengamos una copia de seguridad del sistema, lo montaremos en otro sistema dedicado a la respuesta a incidentes y el análisis forense con VMware instalado.

Asegúrese de desconectar la máquina de la red e Internet. No desea ninguna comunicación con ningún servidor C2 mientras realiza el análisis. Está bien.
Entonces con eso tomamos la copia de seguridad, aislamos la máquina de la red, ahora es el momento de realizar algunos análisis. Bien, asumiremos que ahora mismo estamos realizando el análisis de la copia clonada.
Queremos identificar las acciones que ha tomado el atacante desde que comprometió la máquina, por lo que usaremos Powershell específicamente. powerview.ps1 que se utiliza para enumerar las máquinas Windows que forman parte de un controlador de dominio.

Comandos útiles para usar powerview.ps1

Importar módulo powerview.ps1

Obtener-NetDomainController

Get-NetLoggedon

Obtener-NetSession

Get-NetComputer

Y usaremos el Visor de eventos de Windows para rastrear los cambios realizados por el atacante en la configuración de la política de grupo, como The identificador de evento 4719 está asociado con modificación de política, lo que significa que si algún usuario válido o no válido intenta actualizar la política de auditoría del sistema, esta acción generará un registro de eventos con DNI 4719. Del mismo modo, ID de evento 4739 está asociado con el cambio de política de dominio.

Para verificar los cambios de membresía del grupo, podemos ver los registros de eventos y buscar los ID de eventos específicos generados en ciertos escenarios. A continuación se muestra una lista de los ID de eventos más interesantes:
  • IDENTIFICACIÓN 4756: Miembro agregado a un grupo de seguridad universal.
  • IDENTIFICACIÓN 4757: Miembro eliminado de un grupo de seguridad universal.
  • IDENTIFICACIÓN 4728: Miembro agregado a un grupo de seguridad global.
  • IDENTIFICACIÓN 4729: Miembro eliminado de un grupo de seguridad global.

Para recuperar la máquina infectada, seguimos los pasos a continuación

  • Restablezca la contraseña para las cuentas de Nivel 0. Puede restablecer o desactivar una cuenta simplemente seleccionando la opción deseada.
  • Busque cuentas posiblemente comprometidas (sospechosas) y restablezca su contraseña para evitar una escalada de privilegios.
  • Cambie la contraseña de la cuenta del servicio Kerberos y déjela inutilizable para el atacante.
  • Restablecer las contraseñas de cuentas con privilegios administrativos.
  • Utilizar el Restablecer-ComputadoraMáquinaContraseña Comando de PowerShell para realizar operaciones de restablecimiento de objetos de computadora en el dominio.
  • Restablezca la contraseña de la máquina del controlador de dominio para evitar el abuso del ticket plateado. Puede obtener más información sobre los diferentes tipos de ataques basados en Kerberos. aquí.
  • Los Controladores de Dominio son el elemento esencial para la protección y recuperación. Si ha configurado un controlador de dominio (DC) grabable como respaldo para uno comprometido, puede restaurarlo para evitar interrupciones (tenga cuidado al realizar este paso. No restaure una instancia de un DC comprometido).
  • Realice análisis de malware en cualquier servidor controlador de dominio de destino para identificar scripts maliciosos.
  • Verifique que el atacante no haya agregado ninguna tarea programada o aplicaciones de inicio para acceso persistente. Puede acceder al programador de tareas a través de Ejecutar > taskchd.msc

Lecciones aprendidas después del incidente

Decisiones políticas
  • Se debe desarrollar un plan detallado de ciberseguridad en línea con algunos marcos internacionales como NIST.
  • Desarrollar una política de gestión de desastres para evitar este tipo de ataques en el futuro.
  • Auditoría detallada de ciberseguridad de la infraestructura para localizar el vector de infección del incidente y determinar la causa raíz.
  • Asegúrese de que los registros de todos los servidores, computadoras y dispositivos de red se mantengan y se envíen a una solución SIEM confiable.
Controlador de dominio
  • Agregar reglas permanentes en SIEM para bloquear dominios de comando y control (C2) y direcciones IP utilizadas por el atacante.
  • Parchear todos los sistemas vulnerables para evitar la explotación de los sistemas mediante exploits disponibles públicamente.
  • Realice un análisis exhaustivo de malware de todos los controladores de dominio y sistemas unidos a un dominio.
  • Realice actualizaciones del sistema operativo a la última versión de Windows Server, ya que ofrece más funciones de seguridad, como cifrado AES y soporte. arquitectura roja más eficientemente.
  • Elimine los recursos compartidos de archivos en los controladores de dominio.
  • Deshabilite el uso de medios extraíbles en las computadoras host, ya que los atacantes pueden propagar el malware en toda la red.
Copias de seguridad 
  • La red de la organización debe tener controladores de dominio redundantes en alta disponibilidad (diseño primario/secundario).
  • Implementar mecanismos automatizados de respaldo y recuperación.
  • Verificar periódicamente las copias de seguridad confiables para validar la integridad.

Tutorial en vídeo

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos