靈異現象 - 我根本沒這個帳號阿

靈異現象

故事接著小新公司被入侵之後的延續，
小新在廠商調查的同時，也沒有閒著，
對著手中的 event log 開始做整理，
裡面他發現很有趣的事情，有一個帳號長得很像 Administrator 但又看起來不是。

就像下方的圖：

真實情況

這個有趣的帳號名就是

Administrateur 

如果你學過一點外文，可能會發現這種發音應該是法文，
你把它拿去 google 一下，你就會發現原來 Mimikatz 的官方文件就使用這樣的用字，
畢竟作者本身就是法國人。

有趣的是這樣的攻擊是能夠成功的，
有興趣可以去查查 Pass The Ticket Attack，
文章後面有附 mimikatz 指令連結還有個人推薦的 blog 連結，
當你去了解攻擊就知道為什麼這個會起作用了。

駭客在攻擊過程中不熟悉工具，喜歡複製貼上指令，
有時候我們 IR/研究員在調查的過程，就會看到這些有趣的現象，
畢竟有素質的駭客組織都有一些標準手續、習慣，這些東西當他們在做攻擊/進入一個環境，
都會下意識的複製貼上，所以有時候能看到他們打錯指令等等。

參考資料

• https://github.com/gentilkiwi/mimikatz/wiki/module-~-kerberos
• https://adsecurity.org/?tag=passtheticket