لقد قمنا بتغطية عملية الاستجابة للحوادث والخطوات المتخذة للتحقيق في نظام دليل Windows النشط المصاب واستعادته. استخدمنا Powerview وEventviewer للتحقيق في الإجراءات التي اتخذها المهاجم مثل المستخدمين الذين تم إنشاؤهم/تعديلهم وتغييرات سياسة المجموعة وأحداث أخرى مثل التاريخ والوقت. . كان هذا جزءًا من حاولHackMe استعادة الدليل النشط.
احصل على ملاحظات اختبار COMPTIA Security+
إجابات الغرفة
ما نوع النسخ الاحتياطية التي يمكن الحصول عليها من الأداة المساعدة Windows Server Backup (اكتب الخيار الصحيح فقط)؟ أ: مره واحده ب: تدريجي ج: كلا من أ و ب.
كيف يمكنك تشغيل الأداة المساعدة Windows Server Backup من خلال مربع الحوار "تشغيل"؟
ما هو اسم الأداة المساعدة في Windows التي تعرض جميع الأحداث وتتتبعها؟
ما هو إجمالي عدد المستخدمين الذين قاموا بتسجيل الدخول بعد 1 ديسمبر 2022؟
ما هو معرف الحدث الذي سيتم تسجيله إذا تمت إزالة مستخدم من مجموعة أمان عالمية؟
ما هو الأمر لتنفيذ عملية إعادة تعيين كلمة المرور لجهاز كمبيوتر في المجال؟
ما هي الثغرة الأمنية التي تنطوي على سوء الاستخدام كيربيروس تذاكر الخدمة تسمى؟
هل مزامنة الوقت على جميع أجهزة الشبكة مهمة لربط السجلات على الأجهزة المختلفة؟ (نعم / لا).
نسخة الفيديو
لذلك، في فيديو اليوم، ستضع نفسك في مكان محلل الاستجابة للحوادث وستتولى مهمة استرداد جهاز الدليل النشط الذي يعمل بنظام Windows وإصابته. ستقوم في الأساس بتفعيل خطة الاستجابة للحوادث. إذن لديك مكالمة من زميلك تخبرك أن هناك بعض الأشياء الغريبة تحدث على جهاز الدليل النشط أو ربما أجهزته التي تعد جزءًا من وحدة تحكم المجال. لذلك تريد إلقاء نظرة على هذا الجهاز المصاب وتريد تنفيذ الإجراء الفوري لعزله
ثم ربما القضاء على الجهاز واستعادته.
سنقوم أولاً بأخذ نسخة احتياطية من الجهاز لأن كل التحليلات التي سيتم إجراؤها سيتم إجراؤها على نسخة مستنسخة من الجهاز المصاب.
في السابق، استخدمنا volatility وMemdump لاستنساخ ذاكرة النظام المصاب على نظام التشغيل Linux. ولكن نظرًا لأن هذا جهاز يعمل بنظام Windows، فسوف نقوم بإجراء النسخ الاحتياطي باستخدام خدمة النسخ الاحتياطي المحلية لـ Windows Server. لذا، استخدم النسخ الاحتياطي لجدول النسخ الاحتياطي بمجرد النقر عليه ونستعرض الخيارات. لذا، سنختار نسخة احتياطية كاملة للخادم إذا كانت عبارة عن وحدة تخزين خارجية متصلة بالجهاز أو وحدة التحكم بالمجال، فسوف تختار النسخة المخصصة وهنا ستختار المعدن، ولكن نظرًا لأن هذا معمل الآلة لا تظهر هذه الأشياء هنا لذا سنعود ونختار الخادم الكامل. بمجرد حصولنا على نسخة احتياطية من النظام، سنقوم بتثبيته على نظام آخر مخصص للاستجابة للحوادث وتحليل الطب الشرعي مع تثبيت برنامج VMware.
تأكد من فصل الجهاز عن الشبكة والإنترنت. لا تريد أي اتصال مع أي خادم C2 أثناء إجراء التحليل. حسنًا.
وبهذا أخذنا النسخة الاحتياطية، وقمنا بعزل الجهاز عن الشبكة الآن، وحان الوقت لإجراء بعض التحليلات. حسنًا، سنفترض أننا الآن نقوم بإجراء التحليل على النسخة المستنسخة.
نريد تحديد الإجراءات التي اتخذها المهاجم منذ أن قام باختراق الجهاز، لذلك سنستخدم Powershell على وجه التحديد powerview.ps1 والذي يُستخدم لتعداد أجهزة Windows التي تعد جزءًا من وحدة تحكم المجال.
أوامر مفيدة لاستخدام powerview.ps1
وحدة الاستيراد powerview.ps1
الحصول على NetDomainController
الحصول على NetLoggedon
الحصول على NetSession
احصل على NetComputer
وسنستخدم عارض الأحداث في Windows لتتبع التغييرات التي أجراها المهاجم على إعدادات سياسة المجموعة مثل معرف الحدث 4719 يرتبط ب تعديل السياسةمما يعني أنه إذا حاول أي مستخدم صالح أو غير صالح تحديث سياسة تدقيق النظام، فسيقوم هذا الإجراء بإنشاء سجل أحداث به معرف 4719. وبالمثل، معرف الحدث 4739 يرتبط بتغيير سياسة المجال.
- بطاقة تعريف 4756: تمت إضافة العضو إلى مجموعة أمان عالمية.
- بطاقة تعريف 4757: تمت إزالة العضو من مجموعة الأمان العالمية.
- بطاقة تعريف 4728: تمت إضافة العضو إلى مجموعة الأمان العالمية.
- بطاقة تعريف 4729: تمت إزالة العضو من مجموعة الأمان العمومية.
لاستعادة الجهاز المصاب، نتبع الخطوات التالية
- إعادة تعيين كلمة المرور لحسابات المستوى 0. يمكنك إعادة تعيين الحساب أو تعطيله بمجرد تحديد الخيار المطلوب.
- ابحث عن الحسابات التي يُحتمل أن تكون مخترقة (مشبوهة) وأعد تعيين كلمة المرور الخاصة بها لتجنب تصعيد الامتيازات.
- قم بتغيير كلمة المرور لحساب خدمة Kerberos واجعلها غير قابلة للاستخدام للمهاجم.
- إعادة تعيين كلمات المرور للحسابات ذات الامتيازات الإدارية.
- استخدم ال
إعادة تعيين كلمة مرور جهاز الكمبيوترأمر PowerShell لإجراء عمليات إعادة تعيين لكائنات الكمبيوتر الموجودة في المجال. - قم بإعادة تعيين كلمة المرور لجهاز وحدة تحكم المجال لمنع إساءة استخدام التذكرة الفضية. يمكنك معرفة المزيد حول الأنواع المختلفة للهجمات المستندة إلى Kerberos هنا.
- وحدات التحكم بالمجال هي العنصر الأساسي للحماية والاسترداد. إذا قمت بتكوين وحدة تحكم مجال قابلة للكتابة (DC) كنسخة احتياطية لوحدة تحكم مجال مخترقة، فيمكنك استعادتها لتجنب انقطاعها (كن حذرًا أثناء تنفيذ هذه الخطوة. لا تقم باستعادة مثيل وحدة تحكم مجال مخترقة).
- قم بإجراء تحليل للبرامج الضارة على أي خادم وحدة تحكم المجال المستهدف لتحديد البرامج النصية الضارة.
- تأكد من أن المهاجم لم يقم بإضافة أي مهام مجدولة أو تطبيقات بدء التشغيل للوصول المستمر. يمكنك الوصول إلى برنامج جدولة المهام من خلال
تشغيل> Taskchd.msc
الدروس المستفادة بعد الحادث
- ويجب وضع خطة مفصلة للأمن السيبراني بما يتماشى مع بعض الأطر الدولية مثل نيست.
- وضع سياسة لإدارة الكوارث لتجنب مثل هذه الهجمات في المستقبل.
- تدقيق مفصل للأمن السيبراني للبنية التحتية لتحديد موقع ناقل العدوى للحادث وتحديد السبب الجذري.
- تأكد من الاحتفاظ بالسجلات من جميع الخوادم وأجهزة الكمبيوتر وأجهزة الشبكة وإعادة توجيهها إلى حل SIEM ذي السمعة الطيبة.
- إضافة قواعد دائمة في SIEM لحظر نطاقات القيادة والتحكم (C2) وعناوين IP التي يستخدمها المهاجم.
- تصحيح جميع الأنظمة الضعيفة لمنع استغلال الأنظمة من خلال عمليات استغلال متاحة للعامة.
- قم بإجراء فحص شامل للبرامج الضارة لجميع وحدات التحكم بالمجال والأنظمة المرتبطة بالمجال.
- قم بإجراء ترقية نظام التشغيل إلى أحدث إصدار من Windows Server لأنه يوفر المزيد من ميزات الأمان، مثل توفير تشفير AES ودعمه العمارة الحمراء بكفاءة أكبر.
- إزالة مشاركات الملفات على وحدات تحكم المجال.
- قم بتعطيل استخدام الوسائط القابلة للإزالة على أجهزة الكمبيوتر المضيفة، حيث قد يقوم المهاجمون بنشر البرامج الضارة على الشبكة بأكملها.
- يجب أن تحتوي شبكة المؤسسة على وحدات تحكم مجال متكررة ذات توفر عالي (تخطيط أساسي/ثانوي).
- تنفيذ آليات النسخ الاحتياطي والاسترداد الآلية.
- التحقق بانتظام من النسخ الاحتياطية الموثوقة للتحقق من سلامتها.
تجول الفيديو
