Tweet
Trong hầu hết các cuộc tấn công nội bộ (internal breach), Domain Admin (DA) chính là “chén thánh”.
Khi attacker đã có DA, coi như:
🔓 Active Directory bị kiểm soát
📁 Toàn bộ server, file, database mở cửa
💣 Ransomware có thể triển khai chỉ trong vài phút
Điều nguy hiểm nhất là:
🎯 Mục tiêu của hacker khi leo thang đặc quyền
Hacker không cần chiếm mọi thứ ngay. Họ thường:
✔ Tìm account có quyền cao
✔ Ăn cắp credential / ticket
✔ Lạm dụng cấu hình AD sai
✔ Leo từ user → admin → domain admin
👉 Tất cả đều để lại dấu vết rất rõ trong log.
🪜 Các con đường phổ biến lên Domain Admin
🔑 1. Credential Dumping → Pass-the-Hash / Ticket
Hacker dump:
🧠 NTLM hash
🧠 Kerberos ticket (TGT/TGS)
🧠 Cached credential
Sau đó:
🔁 Dùng lại hash/ticket để login máy khác
🎯 Cuối cùng nhắm tới DC
Dấu hiệu log:
🚨 Logon type 3 / 10 từ máy không quen
🚨 Account DA login từ workstation
🚨 Không có logon interactive trước đó
🧠 2. Kerberoasting
Hacker:
✔ Request ticket cho service account
✔ Crack offline
✔ Lấy password service account
✔ Service account lại có quyền cao 😬
Dấu hiệu log:
📜 Event 4769 (TGS requested)
⚠️ Nhiều request cho service account
⚠️ Từ user không phải service
⚠️ Trong thời gian ngắn
🪝 3. DCSync – ăn cắp hash trực tiếp từ Domain Controller
Một trong những kỹ thuật nguy hiểm nhất.
Hacker giả vờ như DC và yêu cầu AD gửi:
🔐 Hash của toàn bộ user
🔐 Bao gồm cả krbtgt và Domain Admin
Dấu hiệu log cực kỳ quan trọng:
🚨 Event 4662
🚨 Object access: Directory Replication
🚨 Account không phải DC nhưng có quyền replication
👉 Nếu thấy cái này: incident severity cực cao 🔥
🧬 4. Abuse quyền AD (ACL abuse)
Hacker lợi dụng:
🧩 WriteDACL
🧩 GenericAll
🧩 AddMember
Để:
➡️ Tự add mình vào Domain Admin
➡️ Modify quyền account khác
Dấu hiệu log:
📌 Event 4728 / 4732 (Add member to privileged group)
📌 Event 4670 (Permissions changed)
📌 Thay đổi group: Domain Admins / Enterprise Admins
⚙️ 5. Privilege Escalation thông qua service / scheduled task
Hacker:
🛠️ Tạo service chạy với quyền SYSTEM
🛠️ Scheduled Task trên server / DC
Sau đó:
🔁 Dump credential
🔁 Leo quyền tiếp
Dấu hiệu log:
⚠️ Event 7045 (Service created)
⚠️ Event 4698 (Scheduled task created)
⚠️ Account thường nhưng thao tác trên server quan trọng
🔍 Những dấu hiệu “đỏ chót” trong SOC
Nếu bạn thấy mấy cái này mà không điều tra là toang:
🚨 Domain Admin login từ máy user
🚨 Domain Admin login ngoài giờ hành chính
🚨 Privileged group thay đổi membership
🚨 Service account login interactive
🚨 DCSync từ account không phải DC
🚨 krbtgt được truy cập bất thường
🧠 Mapping sang MITRE ATT&CK
🧩 TA0004 – Privilege Escalation
🧩 TA0006 – Credential Access
Kỹ thuật tiêu biểu:
🛠️ Tư duy xây rule SIEM (rất quan trọng)
Đừng chỉ hỏi:
❌ “Có tool gì lạ không?”
Hãy hỏi:
✔ Ai làm việc này?
✔ Việc này có hợp lý với role không?
✔ Thời điểm này có bình thường không?
✔ Máy này có nên làm việc đó không?
🧪 Ví dụ rule tư duy SOC
🔥 Sự thật phũ phàng
Trong rất nhiều case ransomware:
🏁 Kết luận
Leo thang lên Domain Admin không ồn ào.
Không exploit. Không malware. Không scan.
Chỉ có:
🧠 Credential
📜 Log
⏱️ Thời gian
SOC giỏi là SOC đọc được câu chuyện từ log.
Khi attacker đã có DA, coi như:
🔓 Active Directory bị kiểm soát
📁 Toàn bộ server, file, database mở cửa
💣 Ransomware có thể triển khai chỉ trong vài phút
Điều nguy hiểm nhất là:
Quá trình leo thang DA thường không cần exploit 0-day.
Chỉ cần log bị bỏ qua.
Chỉ cần log bị bỏ qua.
🎯 Mục tiêu của hacker khi leo thang đặc quyền
Hacker không cần chiếm mọi thứ ngay. Họ thường:
✔ Tìm account có quyền cao
✔ Ăn cắp credential / ticket
✔ Lạm dụng cấu hình AD sai
✔ Leo từ user → admin → domain admin
👉 Tất cả đều để lại dấu vết rất rõ trong log.
🪜 Các con đường phổ biến lên Domain Admin
🔑 1. Credential Dumping → Pass-the-Hash / Ticket
Hacker dump:
🧠 NTLM hash
🧠 Kerberos ticket (TGT/TGS)
🧠 Cached credential
Sau đó:
🔁 Dùng lại hash/ticket để login máy khác
🎯 Cuối cùng nhắm tới DC
Dấu hiệu log:
🚨 Logon type 3 / 10 từ máy không quen
🚨 Account DA login từ workstation
🚨 Không có logon interactive trước đó
🧠 2. Kerberoasting
Hacker:
✔ Request ticket cho service account
✔ Crack offline
✔ Lấy password service account
✔ Service account lại có quyền cao 😬
Dấu hiệu log:
📜 Event 4769 (TGS requested)
⚠️ Nhiều request cho service account
⚠️ Từ user không phải service
⚠️ Trong thời gian ngắn
🪝 3. DCSync – ăn cắp hash trực tiếp từ Domain Controller
Một trong những kỹ thuật nguy hiểm nhất.
Hacker giả vờ như DC và yêu cầu AD gửi:
🔐 Hash của toàn bộ user
🔐 Bao gồm cả krbtgt và Domain Admin
Dấu hiệu log cực kỳ quan trọng:
🚨 Event 4662
🚨 Object access: Directory Replication
🚨 Account không phải DC nhưng có quyền replication
👉 Nếu thấy cái này: incident severity cực cao 🔥
🧬 4. Abuse quyền AD (ACL abuse)
Hacker lợi dụng:
🧩 WriteDACL
🧩 GenericAll
🧩 AddMember
Để:
➡️ Tự add mình vào Domain Admin
➡️ Modify quyền account khác
Dấu hiệu log:
📌 Event 4728 / 4732 (Add member to privileged group)
📌 Event 4670 (Permissions changed)
📌 Thay đổi group: Domain Admins / Enterprise Admins
⚙️ 5. Privilege Escalation thông qua service / scheduled task
Hacker:
🛠️ Tạo service chạy với quyền SYSTEM
🛠️ Scheduled Task trên server / DC
Sau đó:
🔁 Dump credential
🔁 Leo quyền tiếp
Dấu hiệu log:
⚠️ Event 7045 (Service created)
⚠️ Event 4698 (Scheduled task created)
⚠️ Account thường nhưng thao tác trên server quan trọng
🔍 Những dấu hiệu “đỏ chót” trong SOC
Nếu bạn thấy mấy cái này mà không điều tra là toang:
🚨 Domain Admin login từ máy user
🚨 Domain Admin login ngoài giờ hành chính
🚨 Privileged group thay đổi membership
🚨 Service account login interactive
🚨 DCSync từ account không phải DC
🚨 krbtgt được truy cập bất thường
🧠 Mapping sang MITRE ATT&CK
🧩 TA0004 – Privilege Escalation
🧩 TA0006 – Credential Access
Kỹ thuật tiêu biểu:
- T1003 – Credential Dumping
- T1558 – Kerberos Attacks
- T1484 – Domain Policy Modification
- T1098 – Account Manipulation
- T1078 – Valid Accounts
🛠️ Tư duy xây rule SIEM (rất quan trọng)
Đừng chỉ hỏi:
❌ “Có tool gì lạ không?”
Hãy hỏi:
✔ Ai làm việc này?
✔ Việc này có hợp lý với role không?
✔ Thời điểm này có bình thường không?
✔ Máy này có nên làm việc đó không?
🧪 Ví dụ rule tư duy SOC
Nếu:
- User thuộc Domain Admin
- Login từ workstation
- Logon type 3 / 10
=> Alert: High-risk privileged logon
🔥 Sự thật phũ phàng
Trong rất nhiều case ransomware:
Domain Admin đã bị chiếm từ vài ngày trước
Nhưng SOC không để ý mấy event “nhìn thì bình thường”.
Nhưng SOC không để ý mấy event “nhìn thì bình thường”.
🏁 Kết luận
Leo thang lên Domain Admin không ồn ào.
Không exploit. Không malware. Không scan.
Chỉ có:
🧠 Credential
📜 Log
⏱️ Thời gian
SOC giỏi là SOC đọc được câu chuyện từ log.