campfire-2

	Veröffentlicht	2024-06-27
	Retired	2024-06-27
	Autor	CyberJunkie

Szenario

Das Netzwerk von Forela wird ständig angegriffen. Das Sicherheitssystem hat einen Alarm ausgelöst, weil ein altes Administratorkonto ein Ticket von einem KDC auf einem Domänencontroller angefordert hat. Der Inventarbericht zeigt, dass dieses Benutzerkonto derzeit nicht verwendet wird, daher wurde Ihnen die Aufgabe übertragen, dies zu überprüfen. Dies könnte ein AsREP Roasting-Angriff sein, da jeder das Ticket eines Benutzers anfordern kann, der die Pre-Authentifizierung deaktiviert hat.

Task 01

Frage: Wann fand der ASREP Roasting-Angriff statt, und wann hat der Angreifer das Kerberos-Ticket für den verwundbaren Benutzer angefordert?
Original: When did the ASREP Roasting attack occur, and when did the attacker request the Kerberos ticket for the vulnerable user?

Das einzige verfügbare Artefakt ist eine Security.evtx. Diese kann mit hayabusa für eine schnelle Untersuchung gescannt werden und so ein Überblick über die gesuchten Vorgänge gewonnen werden. Zusätzlich zur Ausgabe als json-timeline werden die Schalter -w zur default Konfiguration ohne weitere Abfragen und -U für UTC Zeitstempel genutzt.

hayabusa.exe json-timeline -w -U -d . -o hayabusa.json

Bei der Vorbereitungen des Kerberoasting schlägt eine der default Regeln an, um auf einen ungewöhnlichen Request eines RC4 Tickets (erkennbar an dem Verschlüsseltungtyp 0x17) hinzuweisen:

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
{
    "Timestamp": "2024-05-29 06:36:40.246 +00:00",
    "RuleTitle": "Possible AS-REP Roasting (RC4 Kerberos Ticket Req)",
    "Level": "med",
    "Computer": "DC01.forela.local",
    "Channel": "Sec",
    "EventID": 4768,
    "RecordID": 6241,
    "Details": {
        "TgtUser": "arthur.kyle",
        "Svc": "krbtgt",
        "SrcIP": "::ffff:172.17.79.129",
        "Status": "0x0",
        "PreAuthType": 0
    },
    "ExtraFieldInfo": {
        "CertIssuerName": "",
        "CertSerialNumber": "",
        "CertThumbprint": "",
        "IpPort": 61965,
        "ServiceSid": "S-1-5-21-3239415629-1862073780-2394361899-502",
        "TargetDomainName": "forela.local",
        "TargetSid": "S-1-5-21-3239415629-1862073780-2394361899-1601",
        "TicketEncryptionType": "0x17",
        "TicketOptions": "0x40800010"
    }
}

Antwort: 2024-05-29 06:36:40

Task 02

Frage: Bitte bestätigen Sie das Benutzerkonto, das vom Angreifer ins Visier genommen wurde.
Original: Please confirm the User Account that was targeted by the attacker.

Die in Task 01 generierte Meldung zum RC4 Ticket Request beinhaltet im Details Block auch den Namen des betroffenen Benutzer Accounts.

 8
 9
10
11
12
13
14
"Details": {
	"TgtUser": "arthur.kyle",
	"Svc": "krbtgt",
	"SrcIP": "::ffff:172.17.79.129",
	"Status": "0x0",
	"PreAuthType": 0
},

Antwort: arthur.kyle

Task 03

Frage: Was war die SID des Kontos?
Original: What was the SID of the account?

Ebenfalls enhält die in Task 01 generierte Meldung auch die SID des betroffenen Accounts in dem ExtraFieldInfo Block des betreffenden Events der generierten JSON-Timeline.

15
16
17
18
19
20
21
22
23
24
25
"ExtraFieldInfo": {
	"CertIssuerName": "",
	"CertSerialNumber": "",
	"CertThumbprint": "",
	"IpPort": 61965,
	"ServiceSid": "S-1-5-21-3239415629-1862073780-2394361899-502",
	"TargetDomainName": "forela.local",
	"TargetSid": "S-1-5-21-3239415629-1862073780-2394361899-1601",
	"TicketEncryptionType": "0x17",
	"TicketOptions": "0x40800010"
}

Antwort: S-1-5-21-3239415629-1862073780-2394361899-1601

Task 04

Frage: Es ist entscheidend, das kompromittierte Benutzerkonto und den für diesen Angriff verantwortlichen Arbeitsplatz zu identifizieren. Bitte listen Sie die interne IP-Adresse des kompromittierten Geräts auf, um unserem Threat-Hunting-Team zu helfen.
Original: It is crucial to identify the compromised user account and the workstation responsible for this attack. Please list the internal IP address of the compromised asset to assist our threat-hunting team.

Die Adresse der kompromittierten Workstation ist ebenfalls Teil des Details Blocks der zuvor identifizierten Meldung.

 8
 9
10
11
12
13
14
"Details": {
	"TgtUser": "arthur.kyle",
	"Svc": "krbtgt",
	"SrcIP": "::ffff:172.17.79.129",
	"Status": "0x0",
	"PreAuthType": 0
},

Antwort: 172.17.79.129

Task 05

Frage: Wir haben noch keine Artefakte von der Quellmaschine. Können Sie anhand der gleichen DC-Sicherheitsprotokolle das Benutzerkonto bestätigen, das für den ASREP Roasting-Angriff verwendet wurde, damit wir das/die kompromittierte(n) Konto/Konten isolieren können?
Original: We do not have any artifacts from the source machine yet. Using the same DC Security logs, can you confirm the user account used to perform the ASREP Roasting attack so we can contain the compromised account/s?

Ungefähr eine Minute nach dem Request des leichter entschlüsselbaren RC4 Tickets findet sich ein erneuter Request von der selben, als kompromittiert bekannten, IP, sowie anschließende Zugriffe auf Netzwerklaufwerke, inklusive C:\Shares\DC-Confidential. Das zugehörige Benutzerkonto ist in jedem der Zugriffe geloggt.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
{
    "Timestamp": "2024-05-29 06:37:49.227 +00:00",
    "RuleTitle": "Kerberos Service Ticket Requested",
    "Level": "info",
    "Computer": "DC01.forela.local",
    "Channel": "Sec",
    "EventID": 4769,
    "RecordID": 6242,
    "Details": {
        "TgtUser": "[email protected]",
        "Svc": "DC01$",
        "SrcIP": "::ffff:172.17.79.129",
        "Status": "0x0"
    },
    "ExtraFieldInfo": {
        "IpPort": 61975,
        "LogonGuid": "543ACECF-87DD-45D9-CF0D-6C1F28070DC3",
        "ServiceSid": "S-1-5-21-3239415629-1862073780-2394361899-1000",
        "TargetDomainName": "FORELA.LOCAL",
        "TicketEncryptionType": "0x12",
        "TicketOptions": "0x40810000",
        "TransmittedServices": "-"
    }
}

Antwort: happy.grunwald