Contexto
El 28 de octubre de 2022, un atacante logró obtener acceso en varias máquinas de nuestra corporación. En particular, se cree que logró el acceso a través de un cliente Windows 10 y que a partir de ahí saltó al Controlador de Dominio, una máquina con Windows Server 2019. A pesar de nuestros esfuerzos, el ordenador del cliente se apagó antes de que se pudiera hacer una captura de la memoria, y por tanto sólo se ha podido clonar el disco. En el Controlador de Dominio, contamos tanto con imágenes de la memoria como del disco.
Objetivos:
Establecer una línea temporal del incidente. En particular, obtener evidencias del uso de las siguientes vulnerabilidades:
- HiveNightmare en el equipo cliente.
- PrintNightmare en el Controlador de Dominio.
- ZeroLogon en el Controlador de Dominio.
Ficheros:
- Imagen de disco del equipo cliente
- Imagen de disco del Controlador de Dominio
- Imagen de memoria del Controlador de Dominio
- Log de la adquisición de memoria del Controlador de Dominio
- Fichero de hashes
Además, a fin de ilustrar la diferencia entre que el atacante deje las conexiones abiertas o las cierre, se deja una imagen de memoria de un ensayo anterior (2022-10-27). Esta imagen tiene más evidencias que la del día 28, pero obviamente sus timestamps no concuerdan con las evidencias que se encuentran en el disco.
- Imagen de memoria del Controlador de Dominio (2022-10-27)
- Log de la adquisición de memoria del Controlador de Dominio (2022-10-27)
Datos privados:
(Enlaces sólo para personal autorizado)
Informes:
(Enlaces sólo para personal autorizado)
).