CVE-2020-1472 (Zerologon)の痕跡調査

gamzatti
Vote 0 Votes

さて引き続きCVE-2020-1472 (Zerologon)ですが、今回は痕跡調査について。

あまり明確に残る痕跡がないのが現状なのですが、その中でも痕跡になりそうなログを挙げてみました。

ただし、攻撃手法にもよるので、必ず記録される訳ではなく、あくまで参考情報として使ってくださいね。

前回のブログで少し書いたのですが、攻撃には以下の様な特徴があります。

1)リモートからDCのコンピュータアカウントの認証を突破する

2)突破できた場合、DCのコンピュータアカウントのパスワードを空にする

ただし、最近公開された新しい攻撃手法では、2のステップは行わない様になっており、

代わりに攻撃者がNTLM Relayという方法で正規のDCになりすまして、他のフォレストのDCを攻撃する手法を取っています。

上記の様な攻撃の特徴を踏まえて、以下の様なログが記録されることがあります。

意図しないコンピュータからの ANONYMNOUS LOGON(Windows 2008R2などの古いコンピュータでは、通常の運用でも記録されることがある)

 意図しないのであれば、認証要求元は攻撃者である可能性が高い

 ただ、ANONYMNOUS LOGONは新しい攻撃手法では記録されないみたいです。

4624_ANONUMOUS.png

・一番最初にホワイトペーパで公開された手法やmimikatzを使った場合は、DCのコンピュータアカウントのパスワードがリセットさせることで不整合が起こり、

 DCのコンピュータアカウントの認証失敗ログが記録される。

 ただしこのログも、新しい攻撃手法では記録されないことに注意。

4771_fail.png

新しい攻撃手法では、認証要求元コンピュータのIPアドレスとコンピュータ名の不一致が発生する。

 以下の例では攻撃者がセカンダリのDCになりすましているため、本来のセカンダリDCのIPアドレスと異なる攻撃者のIPアドレスが記録されている

 DHCPの環境では、全ての端末についてIPとコンピュータ名が一致しているか確認するのは難しいですが、DCだけであれば、できそうですね。

 IPとコンピュータ名の不一致は、Zerologonだけでなく、他の攻撃の可能性もありそうですが。。

4624_inpersonate.png

No TrackBacks

TrackBack URL: http://www.reverse-edge.com/cgi-bin/mt/mt-tb.cgi/120

Leave a comment

About this Entry

This page contains a single entry by gamzatti published on October 11, 2020 3:19 AM.

CVE-2020-1472 (Zerologon)*mimikatz was the previous entry in this blog.

CVE-2020-16898(Bad Neighbor) is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.