Abbiamo trattato il processo di risposta agli incidenti e le misure adottate per indagare e ripristinare un sistema Active Directory di Windows infetto. Abbiamo utilizzato Powerview ed Eventviewer per indagare sulle azioni intraprese dall'aggressore come utenti creati/modificati, modifiche ai criteri di gruppo e altri eventi come data e ora. . Questo faceva parte TryHackMe ripristina la directory attiva.

Ottieni gli appunti dell'esame COMPTIA Security+

Risposte in camera

Che tipo di backup è possibile ottenere dall'utilità Windows Server Backup (scrivere solo l'opzione corretta)? UN: Una volta B: Incrementale C: Sia a che B.

Come avvieresti l'utilità Windows Server Backup tramite la finestra di dialogo Esegui?

È buona norma isolare l'infrastruttura di rete infetta per un monitoraggio dettagliato della rete? (sì/no).
Quante macchine nel dominio puoi trovare quando usi PowerView?

Qual è il nome dell'utilità di Windows che visualizza e tiene traccia di tutti gli eventi?

Qual è l'indirizzo email dell'utente evil.guy?

Qual è il numero totale di utenti che hanno effettuato l'accesso dopo il 1° dicembre 2022?

Quale ID evento verrà registrato se un utente viene rimosso da un gruppo di sicurezza universale?

Reimposta la password per l'utente evil.guy.

Qual è il comando per eseguire l'operazione di reimpostazione della password per un computer nel dominio?

Qual è la vulnerabilità della sicurezza che comporta l'abuso Kerberos biglietti di servizio chiamati?

Il tipo di attacco che consente agli aggressori di impersonare un controller di dominio e ricevere/inoltrare richieste per conto del controller di dominio si chiama?

La sincronizzazione dell'ora su tutti i dispositivi di rete è importante per correlare i registri su dispositivi diversi? (sì/no).

Fare clic sul pulsante Visualizza sito nella parte superiore dell'attività per avviare il sito statico in visualizzazione divisa. Qual è la bandiera dopo aver completato l'esercizio?

Trascrizione video

Quindi, nel video di oggi ti metterai nei panni di un analista di risposta agli incidenti e affronterai il compito di ripristinare e infettare il computer Active Directory di Windows. Fondamentalmente attiverai il piano di risposta agli incidenti. Quindi ricevi una chiamata dal tuo collega che ti dice che stanno accadendo cose strane sul computer di Active Directory o forse sul loro computer che fa parte del controller di dominio. Quindi vuoi dare un'occhiata a questa macchina infetta e vuoi eseguire un'azione immediata per isolarla
poi magari eliminare e recuperare la macchina.

Per prima cosa eseguiremo il backup della macchina perché tutta l'analisi che verrà eseguita verrà eseguita su una copia clonata della macchina infetta.
In precedenza utilizzavamo la volatilità e Memdump per acquisire un clone della memoria del sistema infetto sul sistema operativo Linux. Ma poiché si tratta di una macchina Windows, eseguiremo il backup utilizzando il servizio di backup locale di Windows Server. Quindi, utilizzando il backup della pianificazione del backup, una volta fatto clic su di esso e si esaminano le opzioni. Quindi selezioneremo il backup completo del server se si tratta di un archivio esterno collegato al dispositivo o al controller di dominio, sceglierai il backup personalizzato e qui selezionerai bare metal, ma poiché questo è un laboratorio macchina queste cose non appaiono qui Quindi torneremo indietro e selezioneremo il server completo. Una volta eseguito il backup del sistema, lo monteremo su un altro sistema dedicato alla risposta agli incidenti e all'analisi forense con VMware installato.

Assicurati di disconnettere la macchina dalla rete e da Internet. Non desideri alcuna comunicazione con nessun server C2 mentre esegui l'analisi. Va bene.
Quindi abbiamo fatto il backup, abbiamo isolato la macchina dalla rete ora, è il momento di eseguire alcune analisi. Ok, quindi supponiamo che in questo momento stiamo eseguendo l'analisi sulla copia clonata.
Vogliamo identificare le azioni intraprese dall'aggressore dopo aver compromesso la macchina, quindi utilizzeremo Powershell in modo specifico powerview.ps1 che viene utilizzato per enumerare i computer Windows che fanno parte di un controller di dominio.

Comandi utili per utilizzare powerview.ps1

Modulo di importazione powerview.ps1

Get-NetDomainController

Get-NetLoggedon

Get-NetSession

Get-NetComputer

E utilizzeremo il Visualizzatore eventi di Windows per tenere traccia delle modifiche apportate dall'autore dell'attacco alle impostazioni dei criteri di gruppo come The ID evento 4719 é associato a modifica della politica, il che significa che se un utente valido o non valido tenta di aggiornare la politica di controllo del sistema, questa azione genererà un registro eventi con Codice identificativo 4719. Allo stesso modo, ID evento 4739 è associato alla modifica della politica del dominio.

Per verificare le modifiche all'appartenenza al gruppo, possiamo visualizzare i registri eventi e cercare gli ID evento specifici generati in determinati scenari. Di seguito l'elenco degli ID evento più interessanti:
  • ID 4756: membro aggiunto a un gruppo di sicurezza universale.
  • ID 4757: membro rimosso da un gruppo di sicurezza universale.
  • ID 4728: membro aggiunto a un gruppo di sicurezza globale.
  • ID 4729: membro rimosso da un gruppo di sicurezza globale.

Per ripristinare la macchina infetta, procediamo come segue

  • Reimposta la password per gli account di livello 0. Puoi reimpostare o disattivare un account semplicemente selezionando l'opzione desiderata.
  • Cerca account possibilmente compromessi (sospetti) e reimposta la loro password per evitare l'escalation dei privilegi.
  • Modificare la password dell'account del servizio Kerberos e renderla inutilizzabile per l'utente malintenzionato.
  • Reimpostare le password degli account con privilegi amministrativi.
  • Usa il Reimposta-ComputerMachinePassword Comando di PowerShell per eseguire operazioni di ripristino per gli oggetti computer nel dominio.
  • Reimpostare la password del computer controller di dominio per impedire l'abuso del ticket Silver. Puoi saperne di più sui diversi tipi di attacchi basati su Kerberos Qui.
  • I controller di dominio sono l'elemento essenziale per la protezione e il ripristino. Se hai configurato un controller di dominio (DC) scrivibile come backup per un controller compromesso, puoi ripristinarlo per evitare interruzioni (fai attenzione durante l'esecuzione di questo passaggio. Non ripristinare un'istanza di un controller di dominio compromesso).
  • Esegui l'analisi del malware su qualsiasi server controller di dominio mirato per identificare script dannosi.
  • Verificare che l'autore dell'attacco non abbia aggiunto attività pianificate o applicazioni di avvio per l'accesso permanente. È possibile accedere all'utilità di pianificazione tramite Esegui > taskschd.msc

Lezioni apprese dopo l'incidente

Decisioni politiche
  • È necessario sviluppare un piano dettagliato di sicurezza informatica in linea con alcuni quadri internazionali come NIST.
  • Sviluppare una politica di gestione delle catastrofi per evitare tali attacchi in futuro.
  • Audit dettagliato della sicurezza informatica dell'infrastruttura per individuare il vettore di infezione dell'incidente e determinarne la causa principale.
  • Assicurati che i registri di tutti i server, computer e dispositivi di rete vengano mantenuti e inoltrati a una soluzione SIEM affidabile.
Controller di dominio
  • Aggiunta di regole permanenti in SIEM per bloccare i domini di comando e controllo (C2) e gli indirizzi IP utilizzati dall'aggressore.
  • Applicazione di patch a tutti i sistemi vulnerabili per impedire lo sfruttamento dei sistemi tramite exploit disponibili al pubblico.
  • Esegui una scansione antimalware approfondita di tutti i controller di dominio e dei sistemi aggiunti al dominio.
  • Esegui gli aggiornamenti del sistema operativo all'ultima versione di Windows Server poiché offre più funzionalità di sicurezza, come la crittografia e il supporto AES architettura rossa Più efficiente.
  • Rimuovere le condivisioni file sui controller di dominio.
  • Disabilitare l'uso di supporti rimovibili sui computer host, poiché gli aggressori potrebbero propagare il malware su tutta la rete.
Backup 
  • La rete dell'organizzazione deve disporre di controller di dominio ridondanti in alta disponibilità (layout primario/secondario).
  • Implementare meccanismi di backup e ripristino automatizzati.
  • Verificare regolarmente i backup attendibili per convalidare l'integrità.

Videoprocedura dettagliata

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli