企业域控服务器存在漏洞被攻击的取证

       随后在10:41的时候,我们的家庭成员也就是我们的内网的这个主机,也就是我们这个人事的电脑,开始对攻击者发起了反向连接,反向连接也就是我们的受害者主动去找攻击者聊天去了聊天去了。当他找到这个攻击者聊天以后,2:05的时候,我们就开始发现什么?就开始发现这一台人事的电脑,开始发起了横向攻击,为什么会发起横向攻击?这个就是因为我们人事的这个电脑当被有漏洞找到以后,他会控制我们的受害者,主动走出内网去和外网的攻击者去沟通和聊天。

随后这个攻击者,他在通过相关的指令去控制我们的受害者,去对内部成员去发起攻击去,那么它,发起了什么样的横向攻击?我们来看这一张图,好。在5月19号2:05:32的时候,我们的这台人事的电脑,内网开始对内部的电脑发起了攻击,那是谁发起的攻击?就是我们的源IP,就是这个目的IP是谁,目的IP是这个这个10.1是谁?10.1是我们的域控,是我们的家庭成员最厉害的,那个他管着下面所有的人,那么我们的这一个内部成员是通过一个什么样的漏洞去打到了他?

在公在这个告警信息的详细信息里面,我们检测到就是我们的监测设备检测到是cve20201472这一个域控的漏洞。去发起了一个一个攻击,而且攻击是成功的。那么简单来给大家介绍一下,这个漏洞的危害,攻击者可以在三秒以内去接管,整个公司的网络,它的危害是非常大的。而且它的这个漏洞的程度是公认的,漏洞程度是为10,是属于高危漏洞。

那么0.78这一台电脑,在现阶段它的一个攻击路径,还原也就是这一个,也就这张图,这张图2:00 05分对域控发起攻击,域控是谁?

域控是10.1,那么也就是我们的左边的这一台电脑,左边这一台电脑在2:05的时候,通过这个漏洞发起了攻击,那么0.78这个人事的电脑,它是被社工以后,零点56分下载恶意文件,然后10:41的时候,开始去对攻击者发起了反击,也就是反击的地址,也就是也就这一个。好,那么上级取证排查的一些相关事宜,0.78它就暂时到此结束。

分享: