灵异现象 - 我根本没这个帐号阿

灵异现象

故事接着小新公司被入侵之後的延续，
小新在厂商调查的同时，也没有闲着，
对着手中的 event log 开始做整理，
里面他发现很有趣的事情，有一个帐号长得很像 Administrator 但又看起来不是。

就像下方的图：

真实情况

这个有趣的帐号名就是

Administrateur 

如果你学过一点外文，可能会发现这种发音应该是法文，
你把它拿去 google 一下，你就会发现原来 Mimikatz 的官方文件就使用这样的用字，
毕竟作者本身就是法国人。

有趣的是这样的攻击是能够成功的，
有兴趣可以去查查 Pass The Ticket Attack，
文章後面有附 mimikatz 指令连结还有个人推荐的 blog 连结，
当你去了解攻击就知道为什麽这个会起作用了。

骇客在攻击过程中不熟悉工具，喜欢复制贴上指令，
有时候我们 IR/研究员在调查的过程，就会看到这些有趣的现象，
毕竟有素质的骇客组织都有一些标准手续、习惯，这些东西当他们在做攻击/进入一个环境，
都会下意识的复制贴上，所以有时候能看到他们打错指令等等。

参考资料

• https://github.com/gentilkiwi/mimikatz/wiki/module-~-kerberos
• https://adsecurity.org/?tag=passtheticket