对域控服务器被入侵的一次溯源

         既然我们已经通过,站在攻击者的角度上去思考和分析以后,我们得到的结论是攻击者所能做的操作就是两个大的方向。那么我们接下来就要去着重去排查这台域控服务器被做了哪些权限维持的操作,以及它通过就是我们的攻击者,通过控制这台域控一又做了哪些攻击,横向攻击的操作,那么所以说后面我们就去检查了这个账号,首先是检查账号这个项,那为什么去检查账号这个项?

我们通过设备上的告警,我们去分析得到这一个漏洞,那么我们通过对这个漏洞了解,我们发现这个漏洞是可以直接拿下域控的,并且是可以创建账号的。所以我们就会干什么?就会优先去排查这个账号,攻击者他也会去优先去创建这个账号,明白没有?为什么会去优先创建这个账号?既然我这个漏洞打下来就可以去创新账号的话,那我肯定去创新账号,他也会想就在最短的时间以内去对这一台受害者去进行长期的控制,再然后再用最更快的时间更快的手段去进行横向攻击,明白没有?

所以说我们攻防它其实是一体的,所以说我们接下来就去检查了账号。是这样子,并不是说是我们每一次都要去依照这个流程去走,然后一步一步去查,不是这样子的,我们一定要通过我们对实际情况的一个分析,实际场景的一个需求,而去做出判断,然后再去做出一些相应的行为,是这样子。好,那么我们在2:12的时候发现攻击者创建的这个账号创建一个账号,然后我们并且还知道test Test这个账号是一个域控账号,为什么会知道它是一个域控账号?是因为我们对这个账号使用了net user test test,然后我们得到了以下信息。

通过这些信息我们总结出来就是就是5月19号的时候,2:10,攻击者设置了密码,2:10,12秒的时候创建了这个域控账号,5月20号的时候,凌晨25分的时候,登录了这个域控这个就是关于账号检查出来的一些信息一些信息。再然后我们就去检查进程,因为他要做持久化的控制,除了创建账号以外,除了创建账号以外,他还要对我们的电脑进行控制,这里又必须要给大家讲一下了。好的,首先它是控制了这台电脑对吧?然后然后我们的人出来去找他找了,他以后然后他再通过发起攻击指令去控制它,对不对?好,那么他又通过横向的方式去控制了我们的这台服务器,对不对?这是横向攻击。控制我们这台服务器,控制这台服务器以后,他接下来也需要去利用他现有的一个权限,现有这个权限去对其他的机子去发起攻击。

分享: