Active Directory Users Locked Out & Exchange Brute Force Attack

من اصعب Operation Task اللى بتقابل System Administrator لما فجاه يبتدى الكلاينت عندك يشتكى من ان الاكونت بتاعتهم ابتديت تعمل Lock  بدون اى سبب وعدد اليوزر اللى بيحصلها locked out فى ازدياد مستمر وحتى لما بتعملها Unlock بترجع تانى يحصلها Lock وبالذات لوعندك Exchange Server فى الشبكه فحتمال كبير يكون Brute Force Attack فهات قهوتك بقى وركز معايا

اول حاجه لما تبدى تفكر فيها انك تشوف Logs الخاص بالUser Locked out عشان نشوف منه Caller Computer عشان نعرف Locked out ده جاى منين وعشان نشوف User Locked out Log هتروح على الدومين كنترولر بالتحديد الدومين كنترولر اللى بيلعب دور PDC عندك فى Forest وهتفتح EventViwer من جزئيه Security  هتروح تعمل Filter وتدور على Event ID 4740

طبعا هيكون حظك حلو لو لاقيت اسم الجهاز اللى بيكون متسبب فى User Locked out زى ما احنا شايفين فى الصوره تحت هنا وساعتها هتروح على الجهاز ده او ممكن يكون سرفير وتحاول تشوف الباسورد موجود غلط فين وفى اغلب الاحيان بيكون اليوزر غير الباسورد بتاعته بس معملهاش Update على كل البرامج اللى بيتسخدم فيها الاكونت ده وساعتها هتكون مشكلتك اتحلت ولكن ده مش موضوعنا النهارده 😀

 

بنسبه كبيره جدا وبالذات لو الشبكه عندك كبيره ومعقده  هتلاقى مكان Caller Computer بدل اسم الجهاز هتلاقى Localhost او ممكن تلاقيها فاضيه مافيش جنبها اى اسم وساعتها انت ماعرفتش User Locked out جاي منين زى الصوره

فى الحاله دى احنا هنحتاج نعمل Enable للسرفيس NETLOGON logging عن طريق تطبيق الامر ده فى CMD “Run

CMD “Run as Administrator

Nltest /DBFlag:2080FFFF

بعد تطبيق الامر ده هتستنى 5 دقائق وهتروح على %windir%\debug\netlogon.log ومن خلال الملف ده هتشوف اليوزرنيم لليوزر اللى بيحصله Lock الجهاز اللى بيبعت للدومين اليوزر نيم والباسورد عشان يعمل authentication وجنبه كود

فى المثال بتاعتنا ان اليوزر Administrator جاى من الجهاز EVOTEC-RDS1 والكود ده “0xC000006A” معناه user name is correct but the password is wrong وده نقدر نعرفه من جدول الاكواد اللى تحت ومعانها

وبعد ماعملنا Enable  للسرفيس NETLOGON logging ساعتها لو روحت على EventViwer وعمل Filter على Event ID 4625 هتلاقى كل المعلومات اللى هتقدر تعرفك ان الاكونت بيحصله Locked Out منين وايه السبب

طيب هتعمل ايه بقى لو لاقيت ان اليوزر بيحصله locked Out بسبب ان الباسورد غلط والركوست جاى من Exchange Server بتاعك

فى الاغلب لو عدد اليوزر كتير وبيزيد باستمرار ده هيكون Brute Force Attack بيحصل عندك على الاكستجينج وفى الحاله دى هتروح على IIS Log بالتحديد C:\inetpub\logs\Logfiles\W3SVC1  وهتروح تفتح اخر Log وهتبتدى تشوف بالتحديد status code 401 وده معناها Access denied وتقدر تعرف HTTP Status Code ومعناه من الموقع ده https://learn.microsoft.com/en-us/troubleshoot/developer/webapps/iis/www-administration-management/http-status-code

زى مااحنا شايفين مافيش اى IPs جنب Status Code وده هيكون الطبيعى فى حاله استخدام NLB او حتى Proxy فى حاله دى لازم نفعل X-Forwarded-For على كل Exchange Servers عشان نقدر نعرف IP اللى بيحاول يدخل على Mailboxes بتاعت اليوزر ولو احنا فى حاله Brute Force Attack فاحنا بندور على Public IP وعشان نفعل X-Forwarded-For على IIS  وهنطبق الخطوات اللى فى الموقع ده https://support.kemptechnologies.com/hc/en-us/articles/360002861712-How-to-Add-an-X-Forwarded-For-Header-and-Configure-IIS-Logging

بعد ما هتفعل X-Forwarded-For وتعمل restart  لل IIS هتلاقى IPs ظهرت جنب HTTP Status Code زى ما قولنا هنروح ندور على Status code 401 وهتلاقى Public IP متكرر مع اختلاف Username فى الحاله دى احنا اتاكدنا انه Brute Force Attack وهنا لازم نعمل Block لل IP ده عشان نوقف الهجوم وتقدر تعمل Block  عن طريق Firewall

طيب بعد ما عملنا بلوك للهكر ازاى نتاكد ان الهجوم قف هتروح على الدومين كنترول وعن طريق Powershell  هتطبق الامر ده عن تعمل unlock لكل اليوزر

 Search-ADAccount -LockedOut | unlock-adaccount

وبعدين تستنى 3 دقائق وتطبق الامر ده وتشوف ان فى لسه User locked out ولا خلاص

Search-ADAccount -LockedOut

لو لاقيت لسه هتروح على IIS Log على Exchange Servers وتدور على Public IP  ممكن يكون لسه ما اتعملوش بلوك او وممكن يكون الاتاك من اكتر من IPs وبعد لما تعمل بلوك لكل IPs هتبطق نفس اوامر Active directory PowerShell تانى لحد ما تتاكد ان الاتاك وقف ومافيش User Locked Out

اخيرا خلينى اقولك ان User Locked out ليها حالات كتير وده من اشهر حالاتها واتمنى انى اكون على الاقل اديتك البدايه اللى تعرف من خلالها تتبع المشكله وتحلها وبالنسبه للحاله بتاعتنا فى المقال ده Exchange Brute Force Attack افضل حال انك تفعل MFA على OWA وعلى ECP عشان تقفل الجزئيه دى على الهكر

اتمنى اكون فيدتكم ولو بمعلومه بسيطه