Rodrigo Neto_429919
-
Posts
10 -
Cadastrado em
-
Última visita
Tipo de conteúdo
Artigos
Selos
Fabricantes
Livros
Cursos
Análises
Fórum
posts postados por Rodrigo Neto_429919
-
-
21 horas atrás, ZTM disse:
Olá @Rodrigo Neto_429919 , como vai?
Isso me parece um ataque de varredura/bruteforce e deve ter alguém na empresa bem espertinho(a) querendo escalar privilégios.
Para começo de conversa:
1º Esqueça nome da machine, IP etc, tudo isso da para Spoofar.
2º Fiquei pensando em uma hipótese: O seu Gestor de TI, está te testando, contratou uma equipe de Red Team para realizar ataques ao Active Directory, afim de te testar.
Realizando Information Gathering do ataque:
1º Ser for um ataque externo, está sendo totalmente direcionado.
2º Uma estação pode estar infectada já que é apenas um usuário final, o atacante faz uma varredura de domain, afim de buscar configurações mal feitas, obsoletas, arcaicas, fracas, vulnerabilidades, para chegar até um Servidor crítico ou Domain Controller.
3º Faça um Information Gathering do atacante, colete todos os dados, não seja dedutivo, ou seja, se não está aparecendo nos logs, faça uma abstração maior, amplie seu pensamento.
4º Que tal um Honeypot e ficar capturando, monitorando, interagindo, com esse suposto atacante? Deixe totalmente vull e crie um rootkit(para a defesa da organização) e fique analisando o comportamento, lógico que não é simples criar do zero, mas é isso.
5º Veja um padrão da varredura feita com o dicionário, se ele foi montado, por exemplo, está testando específicos ou aleatórios? Se for aleatório, saiba técnicas para saber onde achar essa wordlist, se eu descubro onde foi pega essa wordlist, isso é muito bom. Ele é padrão de algum software? Disponibilizado em algum lugar, enfim.
Deve estar percebendo que minhas dicas é para capturar quem é o atacante trabalhando com inteligência.
Não vou te ensinar técnicas de mitigar um ataque no seu Active Directory, afinal, eu nem sou Analista de Segurança da STAFF e eu só tenho 12 anos.
Dicas:
1º Não permita o acesso ao Servidores Físicos Domain Controller.
2º O Administrador Local ainda existe? Desabilite. Não adianta você renomear ou fazer gambiarra, você deve saber que com WMIC da para descobrir name do Administrador, pois o final do SID sempre é 500.
3º O ambiente é Zero Trust? Ou seja, todo mundo com acesso mínimo? Ou é aquelas empresas com 500 Administradores?
4º Trabalhe com Inteligência de Logon.
Aff, cansei.
Se o seu chefe pediu para você da uma monitorada e você se deparou com um ataque, deve ser um time Red Team mesmo. Em contra partida, se eles já eram atacados, mesmo antes de você entrar na empresa, aí é outra história.
Abraços.
Boa tarde.... Bom primeiramente muiiito obrigado pela resposta, estou criando um HoneyPot, acredito ser uma boa alternativa para encontrar mais evidencias ou até mesmo descobrir a origem. Não é um red team pois assim que entrei o gestor anterior saiu, minha entrada foi mais por conta da LGPD, mas aqui dentro fiz meu trabalho para monitorar e detectei isso, dentre outras coisas que ja foram resolvidas. Os servidores estão bem configurados, eu criei GPO para desabilitar os hashs, desabilitei as contas ADM, criei contas ADM para quem precisa porém apenas para usar para elevações, para trabalho cotidiano são usadas contas limitadas, retirei acesso de todos que acessavam o DC e criei instalei os clients do AD para os que precisam gerenciar contas de usuários, limitando as contas deles como operadores. Vou criar o servidor depois venho aqui dizer o que aconteceu.
-
Caros estou com um problema que esta sendo difícil encontrar uma solução, comece a trabalhar como segurança da informação em uma empresa onde não tinha a área de segurança, instalei recentemente o SIEM Wazuh para monitorar o ambiente e notei que estamos tendo mais de 200 mil requisições no nosso Active Directory POR DIA, pelo que pude perceber as tentativas não visam uma conta específica, ele cai testando nome de usuário de A a Z, por exemplo: Admin, Administrator, Administrador, Adan, Beth, Carlos, e assim vai... Nesse meio também aparece tentativas com SQLadmin, suporte. Mas nos logs que me apresentam estas informações não me trazem de qual estação parte estas requisições, no log, o campo Workstation fica vazio ou traz em alguns casos hosts que não existem no ambiente como: Server, Win-394789, 45643, Win-rhyd67.... E esses nomes não aparecem no DHCP, não aparecem no firewall, não é possível pingar... Se alguém ja passou por isso e puder ajudar eu agradeço muito.
-
Em 19/02/2016 às 11:56, Patropi disse:
Problema resolvido, muito obrigado Patropi.
-
Bom dia pessoas,
Alguém tem mais alguma ideia??
-
Boa tarde Patropi,
Peço desculpas por não me expressar de forma clara, seria basicamente o que você fez, porém não é feito teste entre as 3 colunas, seria mesmo entre a coluna "A" de valores a serem procurados e a coluna "C" matriz, retornando a partir do topo apenas os valores encontrados.
Agradeço muito a ajuda.
-
Bom dia Patropi,
Estou anexando o exemplo para ver se ajuda na compreensão. Resumidamente preciso ver apenas os valores encontrados pelo Procv ou outra formula, sem ver o valores nulos ou não encontrados.
Agradeço a atenção.
-
2 minutos atrás, Sr. Coxinha disse:
Melhor configuração para este orçamento.
Concordo, e a placa de vídeo já é bem parruda""
-
Cara da uma olhada no Balão da informatica, montei o do meu cunhado comprando as peças lá... O valor ficou bem mais alto porque era TOP, as acredito que de para encontra coisas boas la para você... Se você que um I3, não compensa mais investir em um octa da AMD, claro que tera que comprar um cooler decente, de uns R$110,00... masssss, teria um rendimento melhor que o I3.... O i3 de hj é o celeron de ontem... Claro que cada um a seu tempo e o i3 é bonzinho... mas para games se não for para o i7 eu iria de AMD.
-
Bom dia amigos, estou com um problema que não consegui resolver de nenhuma outra maneira. PS: Caso tenha postado no local errado favor informar, é a primeira vez que uso um fórum para solicitar ajuda em 13 anos de TI.
Tenho uma planilha Excel com algumas formulas matriciais e outras coisas, e consegui chegar no resultado que precisava, mas este resultado é bem pequeno, tipo 3 valores coluna "A", 2 na coluna "B", 1 na "D" e assim por diante, dentro de um universo de 457 colunas com 503 linhas, pois bem, este é meu problema, gostaria de conseguir mesmo que em uma outra guia, colocar apenas os valores encontrados, sem os #N/D... Para explicar melhor, na coluna "A" retornou 2 resultados dentro na busca e 501 foram #N/D, gostaria que em uma outra coluna ou guia eu conseguisse mostrar apenas os 2 valores encontrados, não mostrar todos os erros juntos. Seria um "Filtro automático", porém não consegui fazer isso com filtros pois os mesmos são aplicados também as outras colunas. Sera que alguém consegue me ajudar?
Peço encarecidamente ajuda com este aparentemente "pequeno problema" e agradeço toda ajuda que puderem dar.
Sobre o Clube do Hardware
No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais
Direitos autorais
Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais
Ataques no Active Directory sem rastros
em Invasões, infecções, antivírus e afins
Postado
Boa tarde amigo, tudo bem? O time de TI esta aplicando todas as recomendações que eu faço, mas detectar de onde estão partindo estes ataques é minha função, o TI pode sim e tem contribuído muito, tínhamos outras situações sérias de segurança que detectei e já foram resolvidas, agora estou a 3 dias focados neste problema, ter um auxilio de uma empresa externa especializada (blu team) é sempre bom, mas ainda não é o caso, sempre consegui junto com as equipes resolver problemas de segurança, alguns com mais tempo outros com menos, acredito que este sera o mesmo caso, não tenho dúvidas que iremos resolver, porém como esta sendo um cenário novo, dúvidas sempre vão fazer parte, mas agradeço a contribuição.