Nous avons couvert le processus de réponse aux incidents et les mesures prises pour enquêter et récupérer un système Active Directory Windows infecté. Nous avons utilisé Powerview et Eventviewer pour enquêter sur les actions entreprises par l'attaquant, telles que les utilisateurs créés/modifiés, les modifications de stratégie de groupe et d'autres événements tels que la date et l'heure. . Cela faisait partie de TryHackMe récupère le répertoire actif.

Obtenez les notes d'examen COMPTIA Security+

Réponses de la salle

Quel type de sauvegardes peut-on obtenir à partir de l'utilitaire de sauvegarde de Windows Server (écrivez uniquement l'option correcte) ? UN: Une fois B : Incrémentale C : Les deux, A et B.

Comment lanceriez-vous l’utilitaire de sauvegarde de Windows Server via la boîte de dialogue Exécuter ?

Est-ce une bonne pratique d’isoler l’infrastructure réseau infectée pour une surveillance détaillée du réseau ? (oui/non).
Combien de machines dans le domaine pouvez-vous trouver en utilisant PowerView ?

Quel est le nom de l'utilitaire de Windows qui affiche et garde une trace de tous les événements ?

Quelle est l'adresse e-mail de l'utilisateur evil.guy ?

Quel est le nombre total d’utilisateurs connectés après le 1er décembre 2022 ?

Quel ID d'événement sera enregistré si un utilisateur est supprimé d'un groupe de sécurité universel ?

Réinitialisez le mot de passe de l'utilisateur evil.guy.

Quelle est la commande permettant d'effectuer l'opération de réinitialisation du mot de passe pour un ordinateur du domaine ?

Quelle est la vulnérabilité de sécurité qui implique un abus Kerberos des tickets de service appelés ?

Le type d'attaque qui permet aux attaquants de se faire passer pour un contrôleur de domaine et de recevoir/transférer des requêtes au nom du contrôleur de domaine est appelé ?

La synchronisation de l'heure sur tous les appareils réseau est-elle importante pour corréler les journaux sur différents appareils ? (oui/non).

Cliquez sur le bouton Afficher le site en haut de la tâche pour lancer le site statique en vue fractionnée. Quel est le drapeau après avoir terminé l’exercice ?

Transcription vidéo

Ainsi, dans la vidéo d'aujourd'hui, vous allez vous mettre dans la peau d'un analyste de réponse aux incidents et vous allez vous attaquer à la tâche de récupération d'un ordinateur Windows Active Directory infecté. En gros, vous allez activer le plan de réponse aux incidents. Vous recevez donc un appel de votre collègue vous informant qu'il est témoin de choses étranges qui se produisent sur la machine Active Directory ou peut-être sur sa machine qui fait partie du contrôleur de domaine. Vous souhaitez donc jeter un œil à cette machine infectée et vous souhaitez effectuer une action immédiate pour l'isoler
puis peut-être éliminer et récupérer la machine.

Nous allons d'abord faire une sauvegarde de la machine car toutes les analyses qui vont être effectuées le seront sur une copie clonée de la machine infectée.
Auparavant, nous utilisions la volatilité et Memdump pour prendre un clone de la mémoire du système infecté sous Linux. Mais comme il s'agit d'une machine Windows, nous effectuerons la sauvegarde à l'aide du service de sauvegarde locale de Windows Server. Donc, en utilisant la sauvegarde programmée, une fois que nous cliquons dessus et que nous parcourons les options. Nous allons donc sélectionner la sauvegarde complète du serveur s'il s'agit d'un stockage externe connecté à l'appareil ou au contrôleur de domaine, vous allez opter pour la personnalisation et ici vous allez sélectionner le bare metal, mais comme il s'agit d'un laboratoire machine, ces choses n'apparaissent pas ici Nous allons donc revenir en arrière et sélectionner le serveur complet. Une fois le système sauvegardé, nous le monterons sur un autre système dédié à la réponse aux incidents et à l'analyse médico-légale avec VMware installé.

Assurez-vous de déconnecter la machine du réseau et d'Internet. Vous ne souhaitez aucune communication avec un serveur C2 pendant que vous effectuez l'analyse. D'accord.
Sur ce, nous avons effectué la sauvegarde, nous avons isolé la machine du réseau maintenant, il est temps d'effectuer une analyse. D'accord, nous allons donc supposer que nous effectuons actuellement l'analyse sur la copie clonée.
Nous voulons identifier les actions entreprises par l'attaquant depuis qu'il a compromis la machine, nous allons donc utiliser spécifiquement Powershell powerview.ps1 qui est utilisé pour énumérer les machines Windows qui font partie d'un contrôleur de domaine.

Commandes utiles pour utiliser powerview.ps1

Module d'importation powerview.ps1

Obtenir-NetDomainController

Obtenir-NetLoggedon

Obtenir-NetSession

Obtenir-NetComputer

Et nous utiliserons l'Observateur d'événements Windows pour suivre les modifications effectuées par l'attaquant sur les paramètres de stratégie de groupe tels que The ID d'événement 4719 est associée à modification de la politique, ce qui signifie que si un utilisateur valide ou non valide tente de mettre à jour la stratégie d'audit du système, cette action générera un journal des événements avec ID 4719. De même, l'ID d'événement 4739 est associé au changement de politique de domaine.

Pour vérifier les modifications apportées à l'appartenance au groupe, nous pouvons afficher les journaux d'événements et rechercher les ID d'événement spécifiques générés dans certains scénarios. Vous trouverez ci-dessous une liste des identifiants d’événements les plus intéressants :
  • IDENTIFIANT 4756: Membre ajouté à un groupe de sécurité universel.
  • IDENTIFIANT 4757: Membre supprimé d'un groupe de sécurité universel.
  • IDENTIFIANT 4728: Membre ajouté à un groupe de sécurité global.
  • IDENTIFIANT 4729: membre supprimé d'un groupe de sécurité global.

Pour récupérer la machine infectée, nous suivons les étapes ci-dessous

  • Réinitialisez le mot de passe des comptes de niveau 0. Vous pouvez réinitialiser ou désactiver un compte en sélectionnant simplement l'option souhaitée.
  • Recherchez les comptes potentiellement compromis (suspects) et réinitialisez leur mot de passe pour éviter une élévation de privilèges.
  • Modifiez le mot de passe du compte de service Kerberos et rendez-le inutilisable pour l'attaquant.
  • Réinitialisez les mots de passe des comptes dotés de privilèges administratifs.
  • Utilisez le Réinitialiser le mot de passe ComputerMachine Commande PowerShell pour effectuer des opérations de réinitialisation des objets informatiques sur le domaine.
  • Réinitialisez le mot de passe de la machine du contrôleur de domaine pour éviter tout abus de ticket Silver. Vous pouvez en savoir plus sur les différents types d'attaques basées sur Kerberos ici.
  • Les contrôleurs de domaine sont l'élément essentiel de la protection et de la récupération. Si vous avez configuré un contrôleur de domaine (DC) inscriptible comme sauvegarde d'un contrôleur compromis, vous pouvez le restaurer pour éviter toute interruption (soyez prudent lors de l'exécution de cette étape. Ne restaurez pas une instance d'un contrôleur de domaine compromis).
  • Effectuez une analyse des logiciels malveillants sur n’importe quel serveur contrôleur de domaine ciblé pour identifier les scripts malveillants.
  • Vérifiez que l'attaquant n'a ajouté aucune tâche planifiée ou application de démarrage pour un accès persistant. Vous pouvez accéder au planificateur de tâches via Exécuter > taskchd.msc

Leçons apprises après l'incident

Décisions politiques
  • Un plan de cybersécurité détaillé doit être élaboré conformément à certains cadres internationaux comme NIST.
  • Développez une politique de gestion des catastrophes pour éviter de telles attaques à l’avenir.
  • Audit détaillé de cybersécurité de l'infrastructure pour localiser le vecteur d'infection de l'incident et déterminer la cause première.
  • Assurez-vous que les journaux de tous les serveurs, ordinateurs et périphériques réseau sont conservés et transmis à une solution SIEM réputée.
Contrôleur de domaine
  • Ajout de règles permanentes dans SIEM pour bloquer les domaines de commande et de contrôle (C2) et les adresses IP utilisées par l'attaquant.
  • Corriger tous les systèmes vulnérables pour empêcher leur exploitation via des exploits accessibles au public.
  • Effectuez une analyse approfondie des logiciels malveillants de tous les contrôleurs de domaine et des systèmes joints au domaine.
  • Effectuez des mises à niveau du système d'exploitation vers la dernière version de Windows Server car il offre plus de fonctionnalités de sécurité, comme le cryptage AES et prend en charge architecture rouge plus efficacement.
  • Supprimez les partages de fichiers sur les contrôleurs de domaine.
  • Désactivez l'utilisation de supports amovibles sur les ordinateurs hôtes, car les attaquants pourraient propager le logiciel malveillant sur l'ensemble du réseau.
Sauvegardes 
  • Le réseau d'organisation doit disposer de contrôleurs de domaine redondants en haute disponibilité (disposition principale/secondaire).
  • Mettez en œuvre des mécanismes automatisés de sauvegarde et de récupération.
  • Vérifier régulièrement les sauvegardes fiables pour valider l'intégrité.

Vidéo pas à pas

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles