Интернетмагазин

258  Расследование инцидента 
Process Information:
New Process ID: 0x1da8
New Process Name: C:tempToolsmimix64mimikatz.exe
Token Elevation Type: %%1937
Mandatory Label: Mandatory LabelHigh Mandatory Level
Creator Process ID: 0xd88
Creator Process Name: C:WindowsSystem32cmd.exe
Process Command Line:
Как видно, это печально известный mimikatz. Он широко используется при 
атаках с целью кражи учетных данных, таких как Pass-the-Hash. Дальнейший 
анализ показывает, что у этого пользователя не должно было быть возможно-
сти запускать эту программу, поскольку у него нет прав администратора. По-
этому мы начали искать другие инструменты, которые могли быть выполнены 
до этого, и нашли следующее:
Process Information:
New Process ID: 0x510
New Process Name: C:tempToolsPSExecPsExec.exe
PsExec
обычно используется злоумышленниками для запуска командной 
строки (cmd.exe) с повышенными (системными) привилегиями. Позже мы так-
же нашли еще одно событие 4688:
Process Information:
New Process ID: 0xc70
New Process Name: C:tempToolsProcDumpprocdump.exe
ProcDump
обычно используется злоумышленниками для выгрузки учетных 
данных из процесса lsass.exe. До сих пор не было ясно, как Жозе удалось полу-
чить привилегированный доступ, и одна из причин заключается в том, что мы 
нашли событие с кодом 1102, которое показывает, что в какой-то момент до 
запуска этих утилит он очистил журнал на локальном компьютере:
Log Name: Security
Source: Microsoft-Windows-Eventlog
Event ID: 1102
Task Category: Log clear
Level: Information
Keywords: Audit Success
User: N/A
Computer: BRANCHBR
Description:
The audit log was cleared.
Subject:
Security ID: BRANCHBRJose
Account Name: BRANCHBR
Domain Name: BRANCHBR
Logon ID: 0x3D3214

Исследование скомпрометированной системы в гибридном облаке 

Download 18,66 Mb.

Do'stlaringiz bilan baham: