[AD] CrownJewel-1 Logon 4799+vss-ShadowCopy+NTDS.dit/SYSTEM+$MFT

QA

TASK1:vssadmin Volume Shadow Copy

攻擊者可以濫用 vssadmin 實用程式來建立卷影快照，然後提取 NTDS.dit 等敏感檔案來繞過安全機制。確定卷影複製服務進入運作狀態的時間。

2024-05-14 03:42:16

TASK2: Logon 4799

建立卷影快照時，磁碟區複製服務會使用機器帳戶驗證權限並列舉使用者群組。找到卷影複製過程查詢的兩個使用者群組以及執行該操作的機器帳戶。

當 Windows 系統結束一個登入 session（工作階段）時，就會產生 4799 事件。
這些情況都會觸發：

狀況類型 說明
使用者手動登出 使用者在桌面或遠端桌面（RDP）點擊登出
系統逾時閒置登出 如 RDP session 超時、Group Policy 設定 session timeout
強制關機或重啟 系統結束所有登入 session 時會產生
使用者帳戶被登出 例如由系統政策、腳本或管理員強制 logoff
Session 被踢出或中斷 網路異常、RD 管理員強制踢人、服務錯誤等

當使用者登入到「網域控制器」時（例如：透過 RDP 登入一台 DC），系統會從 NTDS.dit 中查詢帳戶資訊，並在該 session 結束時產生 4799 登出事件。

Administrators, Backup Operators, DC01$

TASK3:VSSVC.exe Process ID

確定卷影複製服務進程的進程 ID（十進位）。

Process ID: 0x1190 是當下那個時間點，該程序在記憶體中的唯一識別碼，但它是動態的、每次啟動都會改變。

$ printf "%d\n" x01190

4496

TASK4:vss && NTFS

尋找卷影副本快照安裝時指派的磁碟區 ID/GUID 值。

當系統（例如使用 VSS 服務或 vssadmin 命令）建立或掛載一個 卷影副本（Shadow Copy） 時，它會模擬出一個獨立的 NTFS 卷。這個卷會：

有自己的 GUID（類似 \\?\Volume{...}\）

被臨時掛載在系統內（虛擬卷）

在掛載成功後，NTFS 產生事件 ID 4

{06c4a997-cca8-11ed-a90f-000c295644f9}

TASK5:NTDS Path && $MFT file && MFTExplorer.exe

MFT（Master File Table）是NTFS文件系統的核心索引表，記錄了磁碟上所有檔案和資料夾的詳細資訊，包括名稱、大小、位置和時間戳，類似檔案系統的目錄索引，對檔案管理和快速存取至關重要。

確定磁碟上轉儲的 NTDS 資料庫的完整路徑。

https://download.ericzimmermanstools.com/net9/MFTExplorer.zip

C:\Users\Administrator\Documents\backup_sync_Dc\ntds.dit

TASK6

新轉儲的 ntds.dit 是何時在磁碟上建立的？

2024-05-14 03:44:22

TASK7

註冊表配置單元也與 NTDS 資料庫一起被轉儲。轉儲了哪個註冊表配置單元以及它的檔案大小（以位元組為單位）是多少？

NTDS.dit 是什麼？
Active Directory 的 資料庫檔案，存放 AD 所有物件（使用者、群組、電腦帳號等）的資料。

包含了整個域的目錄資訊及身份驗證資料。

位置通常在：%SystemRoot%\NTDS\NTDS.dit

SYSTEM 文件是什麼？
Windows 系統的 註冊表的一部分，存放系統相關設定，特別是 系統安全性及加密金鑰。

它包含 AD 服務器使用的 密鑰（如 SYSKEY），用於加密和保護 NTDS.dit 中的敏感資料（例如密碼哈希）。

Physical Size: 0x10C0000

$ printf "%d\n" 0x10C0000

SYSTEM, 17563648