{"id":459604,"date":"2025-05-14T09:16:37","date_gmt":"2025-05-14T09:16:37","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=459604"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=459604","title":{"rendered":"FreeIPA: \u043a\u0430\u043a \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0430\u0442\u0430\u043a\u0443 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u043d\u0430 \u043b\u044e\u0431\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u041aill \u0421hain. \u0427\u0430\u0441\u0442\u044c 2<\/span>"},"content":{"rendered":"
<\/div>\n
\n
\n
\n
\n
<\/figure>\n

\u041f\u0440\u0438\u0432\u0435\u0442, \u0425\u0430\u0431\u0440! \u042d\u0442\u043e \u0418\u043b\u044c\u043d\u0430\u0437 \u0413\u0430\u0442\u0430\u0443\u043b\u043b\u0438\u043d, \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c RED Security SOC \u0438 \u0421\u0435\u0440\u0433\u0435\u0439 \u041e\u0440\u043b\u044f\u043a, \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044c \u0442\u0440\u0435\u0442\u044c\u0435\u0439 \u043b\u0438\u043d\u0438\u0438 RED Security SOC. \u0412 \u043f\u0440\u043e\u0448\u043b\u043e\u0439 \u0447\u0430\u0441\u0442\u0438<\/a> \u043c\u044b \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0438 \u0446\u0435\u043b\u044b\u0439 \u0440\u044f\u0434 \u0430\u0442\u0430\u043a \u043d\u0430 FreeIPA: \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0438 \u0438\u0445 \u043c\u0435\u0445\u0430\u043d\u0438\u043a\u0443, \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u043b\u044f \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f \u0442\u0430\u043a\u0438\u0445 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u043e\u0432, \u0438 \u043f\u043e\u0434\u0435\u043b\u0438\u043b\u0438\u0441\u044c \u0441\u043e\u0432\u0435\u0442\u0430\u043c\u0438 \u043f\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044e. \u0412 \u044d\u0442\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u043c\u044b \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u0432\u0435\u0441\u044c Kill Chain \u0430\u0442\u0430\u043a \u043d\u0430 FreeIPA \u0438 \u043f\u043e\u043a\u0430\u0436\u0435\u043c, \u043a\u0430\u043a \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0442 \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u043d\u0430 \u043b\u044e\u0431\u043e\u043c \u0438\u0437 \u044d\u0442\u0430\u043f\u043e\u0432.<\/p>\n

\u041d\u0435\u0443\u0441\u043f\u0435\u0448\u043d\u044b\u0435 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043f\u043e\u0434 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u043c\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u043c\u0438 \u0437\u0430\u043f\u0438\u0441\u044f\u043c\u0438 \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 LDAP (LDAP PassSpray, T1110)<\/h2>\n

\u041c\u043e\u0436\u043d\u043e \u043b\u0438 \u043f\u043e\u0434\u0431\u0438\u0440\u0430\u0442\u044c \u043f\u0430\u0440\u043e\u043b\u0438 \u0438\u043b\u0438 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u044c User Enumeration \u0438 Password Spraying \u0430\u0442\u0430\u043a\u0438, \u0447\u0442\u043e\u0431\u044b \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u0437\u0430\u0449\u0438\u0442\u044b \u043d\u0435 \u0441\u043c\u043e\u0433\u043b\u0430 \u044d\u0442\u043e \u0432\u044b\u044f\u0432\u0438\u0442\u044c? \u0412 \u0446\u0435\u043b\u043e\u043c \u2013 \u0434\u0430. \u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0443 Password Spraying \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 LDAP. <\/p>\n

\u041f\u0440\u0438\u043c\u0435\u0440 \u0430\u0442\u0430\u043a\u0438:<\/p>\n

hydra -L user_ldap_dict.txt -p \"P@ssw0rd\" -S -I ldap3:\/\/11.62.10.236<\/code><\/pre>\n
\u0427\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u044d\u0442\u0430 \u043a\u043e\u043c\u0430\u043d\u0434\u0430:<\/p>\n
<\/figure>\n
\u041e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0439\u0442\u0435 \u0442\u0430\u043a\u0443\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c:<\/p>\n
name: 'User_Connect' logsource:   product: ldap 389   files: \/var\/log\/dirsrv\/slapd-*\/access detection:   selection:     ldap_action:       - 'connection'       - 'SSL connection' condition: selection name: 'User_BIND' logsource:   product: ldap 389   files: \/var\/log\/dirsrv\/slapd-*\/access detection:   selection:     ldap_action: 'BIND' userstartswith:     - 'cn=Directory Manager'     - 'cn=uid=admin' condition: selection correlation:   rules:     - 'User_Connect'     - 'User_BIND'   group-by:     - 'SourceAddress'     - 'ldap_389_HostName'     - 'ldap_389_HostAddress'   uniq: 'UserName'   timespan: 30s   condition: gte<\/code><\/pre>\n
\u041a\u043e\u0433\u0434\u0430 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438, \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0442\u0430\u043a\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e\u0431 IP-\u0430\u0434\u0440\u0435\u0441\u0435, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043f\u043e\u0434\u0431\u0438\u0440\u0430\u044e\u0442 \u043f\u0430\u0440\u043e\u043b\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 (\u043c\u044b \u0432\u0438\u0434\u0435\u043b\u0438\u043b\u0438 \u0431\u043e\u043b\u0434\u043e\u043c \u043f\u043e\u043b\u044f \u043e\u0431\u0449\u0438\u0435 \u0434\u043b\u044f \u0431\u0430\u0437\u043e\u0432\u044b\u0445 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043f\u043e\u043b\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e \u043e\u0442\u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c)<\/em>:<\/p>\n
[14\/Oct\/2024:00:56:14.745738244 +0300] conn=21111 <\/strong>fd=233 slot=233 SSL connection from 11.62.10.144<\/strong> to 11.62.10.236
[14\/Oct\/2024:00:56:14.796707036 +0300] conn=21111 <\/strong>op=0 BIND dn=»uid=user3,cn=users,cn=accounts,dc=stand,dc=local<\/strong>» method=128 version=3<\/p>\n
\u0420\u0430\u0441\u0441\u043b\u0435\u0434\u0443\u0435\u043c \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0447\u0435\u0440\u0435\u0437 \u0430\u0433\u0440\u0435\u0433\u0430\u0446\u0438\u044e:<\/p>\n
<\/figure>\n
\u0415\u0441\u043b\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e \u0432\u044b\u0431\u0440\u0430\u0442\u044c \u043f\u043e\u043b\u044f \u0430\u0433\u0440\u0435\u0433\u0430\u0446\u0438\u0438, \u0432\u0438\u0434\u043d\u044b \u0438\u043d\u0442\u0435\u043d\u0441\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0430\u0442\u0430\u043a\u0438 \u0438 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0423\u0417.<\/p>\n
\u041f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 LDAP-\u0437\u0430\u043f\u0440\u043e\u0441\u044b (LDAP Recon, T1078)<\/h2>\n
\u041f\u043e\u0441\u0442\u0440\u043e\u0438\u043c \u043f\u0440\u043e\u0444\u0438\u043b\u044c LDAP-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432, \u0447\u0442\u043e\u0431\u044b \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u0430\u043d\u043e\u043c\u0430\u043b\u0438\u0438: \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u043e\u0431 \u043e\u0431\u044a\u0435\u043a\u0442\u0430\u0445 LDAP-\u044e\u0437\u0435\u0440\u043e\u0432, \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u043e\u0432 \u0438\u043b\u0438 \u0433\u0440\u0443\u043f\u043f. \u0415\u0441\u043b\u0438 \u0443 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0443\u0447\u0435\u0442\u043d\u0430\u044f \u0437\u0430\u043f\u0438\u0441\u044c, \u043e\u043d \u043c\u043e\u0436\u0435\u0442 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u043f\u0440\u0430\u0448\u0438\u0432\u0430\u0442\u044c NT-\u0445\u0435\u0448\u0438, \u043f\u0430\u0440\u043e\u043b\u0438 \u0438\u043b\u0438 Kerberos-\u0431\u0438\u043b\u0435\u0442\u044b. \u042d\u0442\u0430 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0435\u0441\u0442\u044c \u0432 \u0436\u0443\u0440\u043d\u0430\u043b\u0435 LDAP 389:<\/p>\n
logsource:   product: ldap 389   files: \/var\/log\/dirsrv\/slapd-*\/access detection:   Search_Action:     ldap_action: 'SRCH\u2018   Common1:     ldap_base|re: ' ^cn=(users|computers|hostgroups|groups|hbac|sudorules|roles)\u2018   Common2:     ldap_base|startwith: \u2018dc=\u2018   Objects_All:     ldap_filter: '(objectClass=*)\u2018   Extract_Keys:     ldap_filter:       - '(userPassword=*)\u2018       - '(ipaNTHash=*)\u2018       - '(krbPrincipalKey=*)\u2018       - '(krbMKey=*)\u2018   condition: Search_Action AND ((Objects_All AND (Common1 OR Common2)) OR Extract_Keys)<\/code><\/pre>\n
\u041f\u0440\u0438\u043c\u0435\u0440 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e:
ldapsearch -x -D «uid=user2,cn=users,cn=accounts,dc=stand,dc=local» -w «P@ssw0rd» -H ldap:\/\/11.62.10.236:389 -b «cn=users,cn=accounts,dc=stand,dc=local»<\/p>\n
\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b:<\/p>\n
<\/figure>\n
\u0421\u0440\u0430\u0431\u043e\u0442\u0430\u0432\u0448\u0435\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438 \u0432\u044b\u0432\u043e\u0434\u0438\u0442 LDAP-\u0437\u0430\u043f\u0440\u043e\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u043f\u0430\u043b \u043f\u043e\u0434 \u043e\u0434\u0438\u043d \u0438\u0437 \u043d\u0430\u0448\u0438\u0445 \u0448\u0430\u0431\u043b\u043e\u043d\u043e\u0432. \u0422\u0430\u043a\u0443\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0442\u044f\u0436\u0435\u043b\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043d\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0441\u0442\u044c. \u041d\u043e \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043f\u043e \u043d\u043e\u043c\u0435\u0440\u0443 LDAP-\u0441\u0435\u0441\u0441\u0438\u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c IP-\u0430\u0434\u0440\u0435\u0441 \u0435\u0435 \u0445\u043e\u0441\u0442\u0430 \u0438 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0435 \u044d\u0442\u043e\u0439 \u0441\u0435\u0441\u0441\u0438\u0438. \u0414\u0430\u043d\u043d\u044b\u0445 \u0445\u0432\u0430\u0442\u0438\u0442 \u0434\u043b\u044f \u043d\u0430\u0447\u0430\u043b\u0430 \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n
\u0414\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0441\u0442\u0430\u0440\u0442\u0435 \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f:
[14\/Oct\/2024:01:24:20.601371826 +0300] conn=21126<\/strong> op=1 SRCH base=»cn=users,cn=accounts,dc=stand,dc=local» scope=2 filter=»(objectClass=*)» attrs=ALL<\/strong><\/p>\n
\u0423\u0442\u043e\u0447\u043d\u044f\u0435\u043c \u0445\u043e\u0441\u0442, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043f\u0440\u0438\u0448\u0435\u043b \u0437\u0430\u043f\u0440\u043e\u0441:
[14\/Oct\/2024:01:24:20.350389988 +0300] conn=21126<\/strong> fd=231 slot=231 connection from 11.62.10.144 <\/strong>to 11.62.10.236<\/p>\n
\u0423\u0442\u043e\u0447\u043d\u044f\u0435\u043c, \u043f\u043e\u0434 \u043a\u0430\u043a\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u044c\u044e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0430 \u0434\u0430\u043d\u043d\u0430\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c:
[14\/Oct\/2024:01:24:20.350807305 +0300] conn=21126 <\/strong>op=0 BIND dn=»uid=user2,cn=users,cn=accounts,dc=stand,dc=local<\/strong>» method=128 version=3<\/p>\n
\u0422\u044f\u0436\u0435\u043b\u044b\u0439 \u0437\u0430\u043f\u0440\u043e\u0441 \u0432 LDAP (Expensive LDAP req, T1078)<\/strong><\/p>\n
\u041d\u0435 \u0432\u0441\u0435\u0433\u0434\u0430 \u043c\u043e\u0436\u043d\u043e \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u043f\u043e\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u043f\u0440\u043e\u0444\u0438\u043b\u044c LDAP-\u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432. \u0412 \u0442\u0430\u043a\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0439\u0442\u0435 \u0442\u044f\u0436\u0435\u043b\u044b\u0435 LDAP-\u0437\u0430\u043f\u0440\u043e\u0441\u044b \u2014 \u0442\u043e \u0435\u0441\u0442\u044c \u0442\u0430\u043a\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u044e\u0442 \u043c\u043d\u043e\u0433\u043e LDAP-\u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u043b\u0438\u0431\u043e \u0434\u043e\u043b\u0433\u043e \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u044e\u0442\u0441\u044f (\u0430\u043d\u0430\u043b\u043e\u0433 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441 EventID 1644 \u0438\u0437 \u0436\u0443\u0440\u043d\u0430\u043b\u0430 Directory Service \u0432 \u041e\u0421 Windows). <\/p>\n
\u041f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438:<\/p>\n
logsource:   product: ldap 389   files: \/var\/log\/dirsrv\/slapd-*\/access detection:   LDAP_Event:     ldap_action: 'RESULT\u2018   Entry_Count:     nentries|gt: 30   Operation_Time:     optime|gt: 0.005 condition: LDAP_Event AND (Entry_Count OR Operation_Time)<\/code><\/pre>\n
\u041a\u043e\u0433\u0434\u0430 \u044d\u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442, \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0438 \u043f\u0440\u0435\u0432\u044b\u0441\u0438\u043b\u0438 \u043f\u043e\u0440\u043e\u0433\u043e\u0432\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f.<\/p>\n
[14\/Oct\/2024:03:08:15.986113163 +0300] conn=21150 <\/strong>op=1 RESULT err=0 tag=101 nentries=5 <\/strong>wtime=0.000143546 optime=0.005703893 <\/strong>etime=0.005843352 notes=U details=»Partially Unindexed Filter»<\/p>\n
\u0412 \u0441\u043e\u0431\u044b\u0442\u0438\u0438 RESULT ldap 389 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 nentries \u0433\u043e\u0432\u043e\u0440\u0438\u0442 \u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0435 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0435\u043d\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439, \u0430 optime \u2014 \u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0435 \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 LDAP-\u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c (\u0431\u0435\u0437 \u0443\u0447\u0435\u0442\u0430 \u043d\u0430\u0445\u043e\u0436\u0434\u0435\u043d\u0438\u044f \u0432 \u043e\u0447\u0435\u0440\u0435\u0434\u0438).<\/p>\n
\u041f\u043e \u043d\u043e\u043c\u0435\u0440\u0443 LDAP-\u0441\u0435\u0441\u0441\u0438\u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c IP-\u0430\u0434\u0440\u0435\u0441 \u0445\u043e\u0441\u0442\u0430, \u043e\u0442\u043a\u0443\u0434\u0430 \u0431\u044b\u043b\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u043e \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0435, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0435\u0441\u0441\u0438\u0438. \u00a0<\/p>\n
\u0425\u043e\u0441\u0442, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u0448\u0435\u043b \u0437\u0430\u043f\u0440\u043e\u0441:
[14\/Oct\/2024:03:08:15.978958723 +0300] conn=21150<\/strong> fd=231 slot=231 connection from 11.62.10.144<\/strong> to 11.62.10.236<\/p>\n
\u041f\u043e\u0434 \u043a\u0430\u043a\u043e\u0439 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u044c\u044e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0430 \u0434\u0430\u043d\u043d\u0430\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c:
[14\/Oct\/2024:03:08:15.979158503 +0300] conn=21150<\/strong> op=0 BIND dn=»uid=user2,cn=users,cn=accounts,dc=stand,dc=local<\/strong>» method=128 version=3<\/p>\n
\u0418\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e \u0432\u0437\u0433\u043b\u044f\u043d\u0443\u0442\u044c, \u0447\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u043b\u043e \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u043f\u0440\u043e\u0441\u0430. \u0412\u044b\u0433\u0440\u0443\u0437\u0438\u043b\u0438 \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043c\u043d\u043e\u0433\u043e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0438\u0437 LDAP-\u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430? \u0418\u043b\u0438 \u0436\u0435 \u0437\u0430\u043f\u0440\u043e\u0441 \u0431\u044b\u043b \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u0434\u043e\u043b\u0433\u0438\u043c \u0438\u0437-\u0437\u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0433\u043e \u043e\u0431\u0445\u043e\u0434\u0430 \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043c\u043d\u043e\u0433\u0438\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u043f\u043e \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u043e\u043c\u0443 \u0444\u0438\u043b\u044c\u0442\u0440\u0443? \u0421\u043c\u043e\u0442\u0440\u0438\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u043d\u044b\u0439 LDAP-\u0437\u0430\u043f\u0440\u043e\u0441 \u043f\u043e \u043d\u043e\u043c\u0435\u0440\u0430\u043c LDAP-\u0441\u0435\u0441\u0441\u0438\u0438 \u0438 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438:<\/p>\n
[14\/Oct\/2024:03:08:15.980411039 +0300] conn=21150 <\/strong>op=1 SRCH base=»cn=users,cn=accounts,dc=stand,dc=local» scope=2 filter=»(objectClass=*)» attrs=ALL<\/strong><\/p>\n
\u041a\u0430\u043a \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043e\u0445\u043e\u0442\u044f\u0442\u0441\u044f \u0437\u0430 \u0431\u0438\u043b\u0435\u0442\u0430\u043c\u0438 Kerberos<\/h2>\n
\u0420\u0430\u043d\u0435\u0435 \u043c\u044b \u0433\u043e\u0432\u043e\u0440\u0438\u043b\u0438 \u043e \u0442\u043e\u043c, \u0447\u0442\u043e, \u043f\u043e\u043f\u0430\u0434\u0430\u044f \u043d\u0430 \u0445\u043e\u0441\u0442, \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u043e\u0445\u043e\u0442\u0438\u0442\u044c\u0441\u044f \u0437\u0430 \u0431\u0438\u043b\u0435\u0442\u0430\u043c\u0438 Kerberos. \u0418\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u0438 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 Linux \u043e\u043d\u0438 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0441\u044c \u0432 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 tmp, \u0432 \u0444\u0430\u0439\u043b\u0430\u0445 ccache.<\/p>\n
\u0421\u0442\u0430\u0440\u0430\u044f \u0441\u0445\u0435\u043c\u0430 \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0432 \u0432\u0438\u0434\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u00ab\/tmp\/krb5cc_%{uid}\u00bb:<\/p>\n
<\/figure>\n
\u041d\u043e \u0441\u0435\u0439\u0447\u0430\u0441 \u0431\u0438\u043b\u0435\u0442\u044b Kerberos \u0432 \u044d\u0442\u043e\u043c \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435 \u2014 \u043f\u043e\u0432\u043e\u0434 \u0437\u0430\u0434\u0443\u043c\u0430\u0442\u044c\u0441\u044f, \u043d\u0435 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d \u043b\u0438 \u0445\u043e\u0441\u0442, \u0432\u0437\u0433\u043b\u044f\u043d\u0443\u0442\u044c \u043d\u0430 \u0438\u043c\u044f \u044d\u0442\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 \u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0445\u043e\u0441\u0442\u0430.<\/p>\n
\u0415\u0449\u0435 \u0431\u0438\u043b\u0435\u0442\u044b \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u0432 \u044f\u0434\u0440\u0435 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u044b KeyRing. Kernel KeyRing \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u043e\u0431\u044a\u0435\u043a\u0442\u0430\u0445 \u044f\u0434\u0440\u0430. \u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0432\u044b\u0437\u043e\u0432\u044b:<\/p>\n
<\/figure>\n
\u0411\u0438\u043b\u0435\u0442\u044b \u043c\u043e\u0436\u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0432 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0435 KCM\u00a0\u2014 Kerberos Cash Management. \u0412\u043e\u00a0FreeIPA \u0435\u0435 \u0447\u0430\u0449\u0435 \u0432\u0441\u0435\u0433\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u0434\u0435\u043c\u043e\u043d sssd-kcm:<\/p>\n
<\/figure>\n
\u041f\u0440\u0438\u043e\u0440\u0438\u0442\u0435\u0442 \u043c\u0435\u0441\u0442 \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f:<\/p>\n
    \n
  1. \n
    \u041f\u0435\u0440\u0435\u043c\u0435\u043d\u043d\u0430\u044f \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f (KRB5CCNAME).<\/p>\n<\/li>\n
  2. \n
    \u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u00abdefault_ccache_name\u00bb \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u043c \u0444\u0430\u0439\u043b\u0435 \u00ab\/etc\/krb5.conf\u00bb (\u0440\u0430\u0437\u0434\u0435\u043b \u00ab[libdefaults]\u00bb).<\/p>\n<\/li>\n
  3. \n
    \u0417\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432 \u041e\u0421.<\/p>\n<\/li>\n<\/ol>\n
    \u0414\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0435 KeyRing-\u044f\u0434\u0440\u0430 (KeyRing access, T1555, T1558)<\/strong><\/p>\n
    \u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432 \u043c\u043e\u0433\u0443\u0442 \u0437\u0430\u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043e\u0432\u0430\u0442\u044c \u043a\u043b\u044e\u0447\u0438 KeyRing, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0439\u0442\u0435 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043d\u0438\u043c. \u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043c\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0436\u0443\u0440\u043d\u0430\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f Linux Auditd, \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044e\u0449\u0443\u044e \u0442\u0430\u043a\u0438\u0435 syscall, \u043a\u0430\u043a keyctl. \u041f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e c\u043f\u0440\u043e\u0444\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 SSH, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u0431\u0440\u0430\u0449\u0430\u044e\u0442\u0441\u044f \u043a \u044d\u0442\u043e\u0439 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0432 \u0445\u043e\u0434\u0435 \u0440\u0430\u0431\u043e\u0442\u044b.<\/p>\n
    \u041f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438:<\/p>\n
    logsource:   product: auditd   files: \/var\/log\/audit\/audit.log* detection:   keyctl_read:     syscall: 'keyctl\u2018   filter:     exe: \/usr\/bin\/ssh condition: keyctl_read AND NOT filter<\/code><\/pre>\n
    \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0430\u0443\u0434\u0438\u0442\u0430 \u044f\u0434\u0440\u0430 auditd:
    -a exit,always -F arch=b64 -S keyctl -F a0=0xb -k kernel_keyctl
    # \u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435: #define KEYCTL_READ 11- read a key or keyring’s contents<\/p>\n
    \u041f\u0440\u0438\u043c\u0435\u0440 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e:
    .\/tickey -i<\/p>\n
    \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b:<\/p>\n
    <\/figure>\n
    \u041a\u043e\u0433\u0434\u0430 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u044d\u0442\u043e \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438, \u043c\u044b \u0440\u0435\u0430\u0433\u0438\u0440\u0443\u0435\u043c \u043d\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u044f\u0445 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u044b auditd.<\/p>\n
    \u0414\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u043d\u0430\u0447\u0430\u043b\u043e \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f:<\/p>\n
    node=fripa.stand.local <\/strong>type=PROCTITLE msg=audit(10\/14\/2024 20:27:47.033:892) : proctitle=.\/tickey -i<\/strong>
    node=fripa.stand.local type=SYSCALL msg=audit(10\/14\/2024 20:27:47.033:892) : arch=x86_64 syscall=keyctl <\/strong>success=yes exit=8 a0=0xb<\/strong> a1=0x1d7906 a2=0x0 a3=0x0 items=0 ppid=1619 pid=1650 auid=root <\/strong>uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1 <\/strong>comm=tickey exe=\/root\/tickey <\/strong>key=kernel_keyctl<\/p>\n
    \u0412\u00a0\u044d\u0442\u043e\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0438 \u043c\u044b \u0441\u0440\u0430\u0437\u0443 \u0436\u0435 \u0432\u0438\u0434\u0438\u043c \u043e\u0431\u044a\u0435\u043a\u0442 \u0444\u0430\u0439\u043b\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u043e\u0440\u043e\u0434\u0438\u043b \u0434\u0430\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0438 \u0432\u044b\u0437\u0432\u0430\u043b \u043e\u0442\u0441\u043b\u0435\u0436\u0435\u043d\u043d\u044b\u0439 \u043d\u0430\u043c\u0438 syscall. \u041c\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 command line \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0432 \u0442\u0435\u0447\u0435\u043d\u0438\u0435 \u0441\u0435\u0441\u0441\u0438\u0438, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0435\u0435 \u043d\u043e\u043c\u0435\u0440. \u041f\u043e \u043d\u0435\u043c\u0443 \u043c\u043e\u0436\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c IP-\u0430\u0434\u0440\u0435\u0441 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043d\u0430 \u0445\u043e\u0441\u0442\u0435, \u0435\u0441\u043b\u0438 \u0441\u0435\u0441\u0441\u0438\u044e \u0438\u043d\u0438\u0446\u0438\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 SSH:<\/p>\n
    node=fripa.stand.local type=USER_START <\/strong>msg=audit(10\/14\/2024 20:27:06.039:775) : pid=1601 uid=root auid=root ses=1 <\/strong>msg=’op=PAM:session_open grantors=pam_selinux,pam_loginuid,pam_selinux,pam_namespace,pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_umask,pam_lastlog acct=root exe=\/usr\/sbin\/sshd <\/strong>hostname=10.40.64.69 addr=10.40.64.69 <\/strong>terminal=ssh res=success’<\/p>\n
    \u0413\u0434\u0435 \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u043a\u043b\u044e\u0447\u0438<\/strong><\/p>\n
    \u0414\u0430\u0432\u0430\u0439\u0442\u0435 \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a\u0438\u0435 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0438 \u0432 \u043a\u0430\u043a\u0438\u0445 \u0444\u0430\u0439\u043b\u0430\u0445 \u043c\u043e\u0433\u0443\u0442 \u0445\u0440\u0430\u043d\u0438\u0442\u044c \u043a\u043b\u044e\u0447\u0438, \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0443\u044e\u0449\u0438\u0435 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0445:<\/p>\n
    1. \u041f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0430 KCM \u043c\u043e\u0436\u0435\u0442 \u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0431\u0438\u043b\u0435\u0442\u044b Kerberos \u0432 \u0444\u0430\u0439\u043b\u0435 Secrets.Ldb: \/var\/lib\/sss\/secrets\/secrets.ldb<\/p>\n
    \u0414\u043e 2018-\u0433\u043e \u044d\u0442\u043e\u0442 \u0444\u0430\u0439\u043b \u0431\u044b\u043b \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d, \u0430 \u043a\u043b\u044e\u0447 \u043d\u0430\u0445\u043e\u0434\u0438\u043b\u0441\u044f \u0432 \u0442\u043e\u043c \u0436\u0435 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0435. \u0421\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0442\u0435\u043f\u0435\u0440\u044c \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0438\u0437 \u0444\u0430\u0439\u043b\u0430 \u043c\u043e\u0436\u043d\u043e \u0431\u0435\u0437 \u043a\u043b\u044e\u0447\u0430.<\/p>\n
    \u041f\u0440\u0438\u043c\u0435\u0440 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0431\u0438\u043b\u0435\u0442\u043e\u0432 \u0438\u0437 secrets.ldb:<\/p>\n
    <\/figure>\n
    2. \u0425\u0435\u0448\u0438 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043d\u0430\u0445\u043e\u0434\u044f\u0442\u0441\u044f \u0437\u0434\u0435\u0441\u044c: \/var\/lib\/sss\/db\/cache_stand.local.ldb<\/p>\n
    3. \u0418 \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u043d\u0435 \u0437\u0430\u0431\u044b\u0432\u0430\u0439\u0442\u0435 \u043f\u0440\u043e \u043f\u0430\u0440\u043e\u043b\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f Directory Manager, \u0445\u0435\u0448 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432\u00a0\u0444\u0430\u0439\u043b\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u044d\u043a\u0437\u0435\u043c\u043f\u043b\u044f\u0440\u0430 LDAP-\u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0430 dsel diff: \/etc\/dirsrv\/slapd-%REALM%\/dse.ldif<\/p>\n
    \u042d\u0442\u043e\u0442 \u0444\u0430\u0439\u043b \u043d\u0435 \u0448\u0438\u0444\u0440\u0443\u0435\u0442\u0441\u044f, \u0438 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u0434\u043e\u0441\u0442\u0430\u0442\u044c \u043e\u0442\u0442\u0443\u0434\u0430 \u0445\u0435\u0448 \u043f\u0430\u0440\u043e\u043b\u044f:
    grep -A 5 «nsslapd-rootpw:» \/etc\/dirsrv\/slapd-STAND-LOCAL\/dse.ldif
    # nsslapd-rootpw: {PBKDF2_SHA256}AAAIAEL\/Y0ZCYJuh7j80\/J3jkwG0l2q8VzXWImrtbFhQZSJ\u2026
    hashcat -m 10901 -a 0 PBKDF2_SHA256_hash_DM \/usr\/share\/wordlists\/rockyou.txt<\/p>\n
    \u041f\u0440\u0438\u043c\u0435\u0440 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u0430\u0440\u043e\u043b\u044f Directory Manager \u0438\u0437 \u0445\u0435\u0448\u0430:<\/p>\n
    <\/figure>\n
    4. \u0412 \u043f\u0435\u0440\u0432\u0443\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c FreeIPA \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u0443\u044e\u0442, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0444\u0430\u0439\u043b id2entry.db (\/var\/lib\/dirsrv\/slapd-STAND-LOCAL\/db\/userRoot\/id2entry.db). \u041e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0432\u0441\u0435 \u0445\u0435\u0448\u0438 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438 Kerberos-\u043a\u043b\u044e\u0447\u0438. <\/p>\n
    \u041f\u0440\u0438\u043c\u0435\u0440 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u043a\u043b\u044e\u0447\u0435\u0432\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0438\u0437 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 id2entry.db:
    dbscan -f \/var\/lib\/dirsrv\/slapd-STAND-LOCAL\/db\/userRoot\/id2entry.db > LDAP_Hash.dump
    ldapsearch -D «cn=Directory Manager» -x -w «P@ssw0rd» -H ldap:\/\/11.62.10.236 «(|(userPassword=*)(ipaNTHash=*))» krbCanonicalName uid cn userPassword ipaNTHash krbPrincipalKey krbMKey > LDAP_Hash.dump<\/p>\n
    \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0445\u0435\u0448\u0435\u0439 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438\u0437 \u0434\u0430\u043c\u043f\u0430:<\/p>\n
    <\/figure>\n
    5. \u041f\u043e\u043c\u043d\u0438\u0442\u0435, \u0447\u0442\u043e \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0431\u044b\u0432\u0430\u044e\u0442 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044f\u0445 \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0434\u0435\u043c\u043e\u043d\u043e\u0432, \u043d\u043e \u0438 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044f\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u0431\u044d\u043a\u0430\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440: \/var\/lib\/ipa\/backup\/ <\/p>\n
    \u041a\u043e\u0433\u0434\u0430 \u0431\u044d\u043a\u0430\u043f\u044b \u043d\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u044b, \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0438\u0445, \u0447\u0442\u043e\u0431\u044b \u0430\u0442\u0430\u043a\u043e\u0432\u0430\u0442\u044c:
    ipa-backup
    ipa-backup —data \u2013online<\/p>\n
    \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0439\u0442\u0435 \u0432\u0441\u0435 \u0430\u043b\u044c\u0442\u0435\u0440\u043d\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u043c\u0435\u0441\u0442\u043e\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432.<\/p>\n
    \u0414\u043e\u0441\u0442\u0443\u043f \u043a \u0444\u0430\u0439\u043b\u0430\u043c \u0441 \u043f\u0430\u0440\u043e\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u043d\u0430 \u0445\u043e\u0441\u0442\u0435 (Hash DB files access, T1003)<\/strong><\/p>\n
    \u041c\u044b \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u043b\u0438 \u043c\u0435\u0441\u0442\u0430 \u0438 \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0433\u0443\u0442 \u0437\u0430\u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043e\u0432\u0430\u0442\u044c \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432. \u041f\u0435\u0440\u0435\u0439\u0434\u0435\u043c \u043a \u0438\u0445 \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433\u0443. \u0417\u0434\u0435\u0441\u044c \u0442\u0430\u043a\u0436\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0436\u0443\u0440\u043d\u0430\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f Linux auditd. \u041f\u0435\u0440\u0435\u0447\u0435\u043d\u044c \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0439, \u0433\u0434\u0435 \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u044b, \u0444\u0430\u0439\u043b\u044b \u0438 \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445, \u0443\u043a\u0430\u0437\u0430\u043d \u0432 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u043e\u043d\u043d\u043e\u043c \u043f\u0440\u0430\u0432\u0438\u043b\u0435:<\/p>\n
    logsource:   product: auditd   files: \/var\/log\/audit\/audit.log* detection:   PATH0:     PATH0_name|startwith:       - \u2018\/var\/lib\/ipa\/backup\/\u2018       - \u2018\/etc\/dirsrv\/\u2018       - \u2018\/var\/lib\/sss\/secrets\/\u2018       - \u2018\/var\/lib\/sss\/db\/\u2018       - \u2018\/var\/lib\/dirsrv\/\u2018   PATH1:     PATH1_name|startwith:       - \u2018\/var\/lib\/ipa\/backup\/\u2018       - \u2018\/etc\/dirsrv\/\u2018       - \u2018\/var\/lib\/sss\/secrets\/\u2018       - \u2018\/var\/lib\/sss\/db\/\u2018       - \u2018\/var\/lib\/dirsrv\/\u2018 condition: PATH0 OR PATH1<\/code><\/pre>\n
    \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0430\u0443\u0434\u0438\u0442\u0430 \u044f\u0434\u0440\u0430:<\/p>\n
    -w \/var\/lib\/dirsrv\/ -p rw -F auid!=-1 -F euid!=dirsrv -k hash_access
    -w \/var\/lib\/sss\/db\/ -p rw -F auid!=-1 -F euid!=dirsrv -k hash_access
    -w \/var\/lib\/sss\/secrets\/ -p rw -F auid!=-1 -F euid!=dirsrv -k hash_access
    -w \/etc\/dirsrv\/ -p rw -F auid!=-1 -F euid!=dirsrv -k hash_access
    -w \/var\/lib\/ipa\/backup\/ -p rw -F auid!=-1 -F euid!=dirsrv -k hash_access<\/p>\n
    \u0420\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430 \u043d\u0430 \u0431\u0430\u0437\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 auditd. <\/p>\n
    node=oracle-test.stand.local <\/strong>type=PROCTITLE msg=audit(10\/15\/2024 11:56:31.923:23424) : proctitle=\/bin\/bash .\/linikatzV2.sh<\/strong>
    node=oracle-test.stand.local type=PATH <\/strong>msg=audit(10\/15\/2024 11:56:31.923:23424) : item=0 name=\/var\/lib\/sss\/db\/ inode<\/strong>=101248271 dev=fc:00 mode=dir,700 ouid=sssd ogid=sssd rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0
    node=oracle-test.stand.local type=CWD msg=audit(10\/15\/2024 11:56:31.923:23424) : cwd=\/root\/freeipa_attack\/LinikatzV2-master
    node=oracle-test.stand.local type=SYSCALL msg=audit(10\/15\/2024 11:56:31.923:23424) : arch=x86_64 syscall=openat <\/strong>success=yes exit=3 a0=AT_FDCWD a1=0x55f30280b2c0 a2=O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC a3=0x0 items=1 ppid=7994 pid=8118 auid=root <\/strong>uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1 <\/strong>comm=linikatzV2.sh exe=\/usr\/bin\/bash key=hash_access<\/p>\n
    \u0412 \u0441\u043e\u0431\u044b\u0442\u0438\u0438 \u043c\u044b \u0432\u0438\u0434\u0438\u043c \u0444\u0430\u0439\u043b \u0438\u043b\u0438 \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u044b\u0439 \u043a\u0430\u0442\u0430\u043b\u043e\u0433, \u043a \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u043b \u044d\u0442\u043e \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0435. \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c command line \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0432\u0448\u0435\u0433\u043e \u0441\u0435\u0441\u0441\u0438\u044e \u0432 \u041e\u0421, \u0438 \u043d\u043e\u043c\u0435\u0440 \u0441\u0435\u0441\u0441\u0438\u0438. \u041f\u043e \u043d\u0435\u043c\u0443 \u043c\u043e\u0436\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c, \u0441 \u043a\u0430\u043a\u043e\u0433\u043e \u0445\u043e\u0441\u0442\u0430 \u0435\u0435 \u0438\u043d\u0438\u0446\u0438\u0438\u0440\u043e\u0432\u0430\u043b\u0438 (\u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043f\u043e SSH), \u0438 \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0441\u043c\u0435\u0436\u043d\u0443\u044e \u0430\u043d\u043e\u043c\u0430\u043b\u044c\u043d\u0443\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c.<\/p>\n
    \u0414\u043e\u0441\u0442\u0443\u043f \u043a keytab-\u0444\u0430\u0439\u043b\u0430\u043c \u043d\u0430 \u0445\u043e\u0441\u0442\u0435 (Keytab files access, T1555, T1558)<\/h2>\n
    \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0442\u0435\u043f\u0435\u0440\u044c \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0439 \u043a keytab-\u0444\u0430\u0439\u043b\u0430\u043c, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u043a\u043b\u044e\u0447\u0438. \u0418\u0445 \u0442\u0430\u043a\u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0442\u043e\u0439 \u0436\u0435 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u044b Linux auditd. \u0418 \u0432 \u0446\u0435\u043b\u043e\u043c \u2014 \u043e\u0442\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0439\u0442\u0435 \u0432\u0441\u0435 \u0444\u0430\u0439\u043b\u044b \u0441 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435\u043c .keytab.<\/p>\n
    \u041f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438:<\/p>\n
    logsource:   product: auditd   files: \/var\/log\/audit\/audit.log* detection:   PATH0:     PATH0_name|endwith: \u2018.keytab\u2018   PATH1:     PATH1_name|endwith: \u2018.keytab\u2018 condition: PATH0 OR PATH1<\/code><\/pre>\n
    \u041f\u0440\u0430\u0432\u0438\u043b\u0430 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0430\u0443\u0434\u0438\u0442\u0430 \u044f\u0434\u0440\u0430:<\/p>\n
    -w \/etc\/pki\/pki-tomcat\/dogtag.keytab -p rw -F auid!=-1 -F euid!=dirsrv -k keytab_access
    -w \/etc\/dirsrv\/ds.keytab -p rw -F auid!=-1 -F euid!=dirsrv -k keytab_access
    -w \/etc\/named.keytab -p rw -F auid!=-1 -F euid!=dirsrv -k keytab_access
    -w \/etc\/ipa\/dnssec\/ipa-dnskeysyncd.keytab -p rw -F auid!=-1 -F euid!=dirsrv -k keytab_access
    -w \/var\/lib\/ipa\/gssproxy\/http.keytab -p rw -F auid!=-1 -F euid!=dirsrv -k keytab_access
    -w \/etc\/krb5.keytab -p rw -F auid!=-1 -k keytab_access<\/p>\n
    \u041f\u0440\u0438\u043c\u0435\u0440 \u0430\u0442\u0430\u043a\u0438:
    cp -I \/etc\/krb5.keytab \/tmp\/host.tmp<\/p>\n
    \u0421\u0440\u0430\u0431\u043e\u0442\u0430\u0432\u0448\u0435\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u043a \u043a\u0430\u043a\u043e\u043c\u0443 keytab-\u0444\u0430\u0439\u043b\u0443 \u043e\u0431\u0440\u0430\u0449\u0430\u043b\u0438\u0441\u044c. \u0422\u0430\u043a\u0436\u0435 \u043c\u044b \u0432\u0438\u0434\u0438\u043c, \u043a\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043f\u043e\u043b\u0443\u0447\u0438\u043b \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0444\u0430\u0439\u043b\u0443 \u0438 command line \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u044d\u0442\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. \u0418 \u043d\u0430\u043c \u0438\u0437\u0432\u0435\u0441\u0442\u0435\u043d \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0438 \u0435\u0433\u043e \u043d\u043e\u043c\u0435\u0440 \u0441\u0435\u0441\u0441\u0438\u0438 \u0432 \u041e\u0421: \u043c\u043e\u0436\u0435\u043c \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0441\u043c\u0435\u0436\u043d\u0443\u044e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c \u0438 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c, \u043e\u0442\u043a\u0443\u0434\u0430 \u0432\u043e\u0448\u043b\u0438 \u043d\u0430 \u0445\u043e\u0441\u0442.<\/p>\n
    \u041f\u0440\u0438\u043c\u0435\u0440 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043f\u0440\u0438 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438:<\/p>\n
    node=fripa.stand.local <\/strong>type=PROCTITLE msg=audit(10\/14\/2024 20:56:47.663:1227) : proctitle=cp -i \/etc\/krb5.keytab \/tmp\/host.tmp<\/strong>
    node=fripa.stand.local type=PATH msg=audit(10\/14\/2024 20:56:47.663:1227) : item=0 name=\/etc\/krb5.keytab <\/strong>inode=134934471 dev=fc:00 mode=file,600 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 cap_frootid=0
    node=fripa.stand.local type=CWD msg=audit(10\/14\/2024 20:56:47.663:1227) : cwd=\/root
    node=fripa.stand.local type=SYSCALL msg=audit(10\/14\/2024 20:56:47.663:1227) : arch=x86_64 syscall=openat <\/strong>success=yes exit=3 a0=AT_FDCWD a1=0x7ffe62a6e73b a2=O_RDONLY a3=0x0 items=1 ppid=1619 pid=1875 auid=root <\/strong>uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=1 <\/strong>comm=cp exe=\/usr\/bin\/cp key=keytab_access<\/p>\n
    \u041f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u044b Kerberos-\u0431\u0438\u043b\u0435\u0442\u043e\u0432 (Suspicious req Ticket, T1021, T1550, T1555)<\/h2>\n
    \u041e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u043b\u0438 \u0437\u0430\u043f\u0440\u043e\u0441\u044b Kerberos-\u0431\u0438\u043b\u0435\u0442\u043e\u0432 \u0432 FreeIPA? \u0412 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u044f\u0445 \u0434\u0430, \u043d\u043e \u0440\u0430\u0437\u0443\u043c\u043d\u043e \u0434\u0435\u043b\u0430\u0442\u044c \u044d\u0442\u043e \u0434\u043b\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u044b\u0445 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0437\u0430\u043f\u0438\u0441\u0435\u0439, \u0442\u0430\u043a\u0438\u0445 \u043a\u0430\u043a admin \u0438\u043b\u0438 root, \u0447\u0442\u043e\u0431\u044b \u043c\u0438\u043d\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043b\u043e\u0436\u043d\u044b\u0435 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u043e\u043d\u043d\u043e\u0435 \u043f\u0440\u0430\u0432\u0438\u043b\u0430. <\/p>\n
    \u041a\u0440\u043e\u043c\u0435 \u0442\u043e\u0433\u043e, \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0440\u044f\u0434\u043e\u0432\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438 \u0434\u043e\u043c\u0435\u043d\u0430 \u0438\u043c\u0435\u044e\u0442 \u0434\u043e\u0441\u0442\u0443\u043f \u043f\u043e SSH \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440 FreeIPA. \u0421\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0432\u0445\u043e\u0434 \u0442\u0443\u0434\u0430 \u043f\u043e\u0434 \u0443\u0447\u0435\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u044c\u044e \u0440\u044f\u0434\u043e\u0432\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c \u043a\u0430\u043a \u0430\u043d\u043e\u043c\u0430\u043b\u0438\u044e \u0438 \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u0443\u044e \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438. \u041e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0439\u0442\u0435 AS_REQ- \u0438 TGS_REQ-\u0437\u0430\u043f\u0440\u043e\u0441\u044b \u0432 \u0436\u0443\u0440\u043d\u0430\u043b\u0435 MIT Kerberos. \u041f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043e\u0442\u043f\u0440\u043e\u0444\u0438\u043b\u0438\u0440\u0443\u0439\u0442\u0435 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u0438 \u0438\u0441\u043a\u043b\u044e\u0447\u0438\u0442\u0435 \u0441\u0430\u043c \u0441\u0435\u0440\u0432\u0435\u0440 FreeIPA.<\/p>\n
    \u041f\u0440\u0438\u043c\u0435\u0440 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e:
    kinit user2
    ssh user@oracle-test.stand.local<\/p>\n
    \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b:<\/p>\n
    <\/figure>\n
    \u041f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438:<\/p>\n
    logsource:   product: MIT Kerberos   files: \/var\/log\/krb5kdc.log detection:   Request_TGT:     krb5_event: 'AS_REQ\u2018   Critical_Users:     UserName|startwith:       - 'admin\u2018       - \u2018root\u2018   Request_TGS:     krb5_event: 'TGS_REQ\u2018     ServiceName: 'host\/oracle-test.stand.local\u2018   IPA_Server:     SourceAddress: '11.62.10.236\u2018 condition: (Request_TGT AND Critical_Users AND NOT IPA_Server) OR (Request_TGS AND NOT Admin_Users)<\/code><\/pre>\n
    \u041f\u0440\u0438 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0438 \u043f\u0440\u0430\u0432\u0438\u043b\u0430 \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438 \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0438\u043c\u044f \u0437\u0430\u043f\u0440\u043e\u0441\u0438\u0432\u0448\u0435\u0433\u043e \u0431\u0438\u043b\u0435\u0442 Kerberos \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, IP-\u0430\u0434\u0440\u0435\u0441 \u0435\u0433\u043e \u0445\u043e\u0441\u0442\u0430 \u0438 \u0441\u0435\u0440\u0432\u0438\u0441, \u043a \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u043f\u044b\u0442\u0430\u043b\u0441\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u0442\u044c\u0441\u044f \u044d\u0442\u043e\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c. \u0422\u0430\u043a \u043c\u044b \u0447\u0430\u0441\u0442\u0438\u0447\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0435\u043c \u0446\u0435\u043b\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u0438 \u043c\u043e\u0436\u0435\u043c \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u0442\u044c:<\/p>\n
    2024 Oct 14 10:26:34 oracle-test.stand.local krb5kdc[2961](info): TGS_REQ <\/strong>(8 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), aes256-cts-hmac-sha384-192(20), aes128-cts-hmac-sha256-128(19), UNSUPPORTED:des3-hmac-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(26)}) 11.62.10.144<\/strong>: ISSUE: authtime 1728890788, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96(18)}, user2@STAND.LOCAL <\/strong>for host\/oracle-test.stand.local@STAND.LOCAL<\/strong><\/p>\n
    \u0414\u043e\u0441\u0442\u0443\u043f \u043a \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0433\u0440\u0443\u043f\u043f\u0435 LDAP (Access crit LDAP obj, T1098) <\/h2>\n
    \u0422\u0430\u043a \u0436\u0435, \u043a\u0430\u043a \u0432 Active Directory, \u0432\u043e FreeIPA \u0435\u0441\u0442\u044c \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u044b\u0435 \u0433\u0440\u0443\u043f\u043f\u044b: IPA servers, admin \u0438\u043b\u0438 administrator. \u0421\u043b\u0435\u0434\u0438\u0442\u0435, \u043a\u0430\u043a \u043e\u043d\u0438 \u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f, \u0447\u0442\u043e\u0431\u044b \u0442\u0443\u0434\u0430 \u043d\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u043b\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u043d\u0435\u043f\u0440\u0430\u0432\u043e\u043c\u0435\u0440\u043d\u043e.<\/p>\n
    \u041f\u0440\u0430\u0432\u0438\u043b\u043e \u043a\u043e\u0440\u0440\u0435\u043b\u044f\u0446\u0438\u0438:<\/p>\n
    logsource:   product: ldap 389   files: \/var\/log\/dirsrv\/slapd-*\/access  detection:   selection:     ldap_action:       - 'ADD'       - 'MOD'     dn|re:       - 'cn=cn=ipaservers,cn=hostgroups,cn=accounts,dc=stand,dc=local'       - 'cn=.*?Administrator.*?,cn=roles,cn=accounts,dc=stand,dc=local'       - 'cn=.*?admin.*?,cn=groups,cn=accounts,dc=stand,dc=local'    condition: selection<\/code><\/pre>\n
    \u0418\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0434\u043b\u044f \u0440\u0430\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430:<\/p>\n