Campfire-1

Classificação: Very Easy

Categoria: DFIR

Cenário:

Alonzo encontrou arquivos estranhos em seu computador e informou a recém-formada equipe do SOC. Avaliando a situação, acredita-se que um ataque Kerberoasting possa ter ocorrido na rede. Sua tarefa é confirmar as descobertas analisando as evidências fornecidas.

Questões

1- Analisando os logs de segurança do controlador de domínio, você pode confirmar a data e hora UTC em que ocorreu a atividade de kerberoasting?

• Para identificar quando ocorreu a atividade de Kerberoasting, analisei o arquivo SECURITY-DC.evtx. Após extrair o log com o EvtxECmd:

PS C:\Users\johndoe\Desktop\Get-ZimmermanTools\net6\EvtxeCmd> .\EvtxECmd.exe -f "C:\Users\johndoe\Downloads\Triage\Domain Controller\SECURITY-DC.evtx" --csv C:\Users\johndoe\ --csvf dc.csv

• Carreguei o arquivo no Timeline Explorer e filtrei os eventos ID 4769. Procurei especificamente por solicitações TGS usando Ticket Encryption Type 0x17 (RC4), típico de Kerberoasting.

• A atividade de Kerberoasting ocorreu em: 2024-05-21 03:18:09

---

2- Qual o nome do serviço que foi alvo do ataque?

• Dentro do evento, o campo Service Name (ou Service Principal Name – SPN) indica qual serviço estava sendo alvo do ataque.

• O serviço alvo do ataque foi:MSSQLService

---

3- É muito importante identificar a estação de trabalho a partir da qual essa atividade ocorreu. Qual é o endereço IP da estação de trabalho?

• O campo Remote Host registra o endereço IP da máquina que solicitou o Ticket Granting Service (TGS).

• O endereço IP da estação de trabalho responsável pela atividade foi: 172.17.79.129

---

4- Agora que identificamos a estação de trabalho, fornecemos uma triagem incluindo logs do PowerShell e arquivos de pré-busca para obter informações mais detalhadas e entender como essa atividade ocorreu no endpoint. Qual é o nome do arquivo usado para enumerar objetos do Active Directory e possivelmente encontrar contas Kerberos na rede?

• Após identificar a estação de trabalho envolvida, analisei os logs de PowerShell operacionais, focando especificamente no Event ID 4104, que registra o conteúdo completo de scripts executados.

• Primeiro, extraí os logs para CSV usando o EvtxECmd:

PS C:\Users\johndoe\Desktop\Get-ZimmermanTools\net6\EvtxeCmd> .\EvtxECmd.exe -f "C:\Users\johndoe\Downloads\Triage\Workstation\Powershell-Operational.evtx" --csv C:\Users\johndoe\Downloads\ --csvf ps.csv

Em seguida, carreguei o arquivo ps.csv no Timeline Explorer e filtrei por:

• EventID = 4104

Esses eventos revelam:

• o script executado,

• o conteúdo do código,

• e o nome do arquivo carregado pelo PowerShell.

O arquivo utilizado para enumerar objetos do AD foi: powerview.ps1

---

5- Quando este script foi executado? (UTC)

• O campo TimeCreated desse evento indica a data e hora exata em que o script foi carregado e executado no endpoint.

• O script foi executado em:2024-05-21 03:16:32

---

6- Qual é o caminho completo da ferramenta usada para realizar o ataque de Kerberoasting?

• Usei o PECmd, de Eric Zimmerman, para extrair detalhes sobre o Prefetch correspondente:

PS C:\Users\johndoe\Desktop\Get-ZimmermanTools\net6> .\PECmd.exe -d "C:\Users\johndoe\Downloads\Triage\Workstation\2024-05-21T033012_triage_asset\C\Windows\prefetch" --csv C:\Users\johndoe\Downloads\ --csvf prefetch.csv

• Depois, carreguei o arquivo prefetch.csv no Timeline Explorer e procurei pelo executável associado ao Kerberoasting

• A ferramenta utilizada para realizar o ataque de Kerberoasting estava localizada em:\USERS\ALONZO.SPIRE\DOWNLOADS\RUBEUS.EXE

---

7- Quando a ferramenta foi executada para extrair as credenciais? (UTC)