ESCU Alert - Domain Admin Impersonation Analysis

چرا این هشدار صادر می‌شود؟

این قانون زمانی فعال می‌شود که کاربری با دسترسی **Domain Admin** به سیستم لاگین کند (Logon Type 3)، در حالی که نام کاربری او در لیست مجاز ادمین‌های دامین (Lookup Table) وجود ندارد. این موضوع نشان‌دهنده جعل بلیط Kerberos است.

Event ID: 4627 (Group Membership Information)
Condition: User has "Domain Admins" SID BUT is NOT in Allowed List
Technique: Golden Ticket / Silver Ticket (T1558)

مهاجمان با سرقت هش krbtgt می‌توانند بلیطی بسازند که ادعا می‌کند کاربر، عضو گروه ادمین است، حتی اگر در واقعیت نباشد.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر (High Risk)

حمله Golden Ticket: مهاجم یک بلیط TGT جعلی با دسترسی نامحدود ایجاد کرده است.
حمله SID History Injection: اضافه کردن SID گروه ادمین به تاریخچه SID یک کاربر معمولی برای ارتقای سطح دسترسی.
DCShadow: تغییر ویژگی‌های کاربر از طریق یک دامین کنترلر جعلی.

سناریوهای متوسط (Medium Risk)

عدم به‌روزرسانی لیست مجاز: کاربر جدیدی به گروه ادمین اضافه شده اما لیست domain_admins در اسپلانک آپدیت نشده است.
تست نفوذ: تیم قرمز در حال شبیه‌سازی حمله جعل بلیط است.

سناریوهای کم‌خطر (Low Risk / False Positive)

مشکلات همگام‌سازی (Replication): تاخیر در اعمال تغییرات گروه‌ها در دامین‌های بزرگ.

ارزیابی خطر و تریاژ

نشانه قطعی خطر: اگر کاربری که نامش در لیست رسمی ادمین‌ها نیست، با دسترسی Domain Admin لاگین کند، احتمالاً کل دامین (Full Domain Compromise) به خطر افتاده است.

بررسی کاربر: آیا کاربر در Active Directory واقعاً عضو گروه Domain Admins است؟ (اگر بله، لیست اسپلانک را آپدیت کنید).
منبع لاگین: این ترافیک از کجا آمده؟ (Workstation یا Server).
عمر بلیط: آیا بلیط برای مدت غیرمعمول (مثلاً ۱۰ سال) صادر شده است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Windows Security Event 4627
Lookup Table (domain_admins)

دیتامدل‌های مورد استفاده

None (Direct Log Search)

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های امنیتی ویندوز (Event ID 4627)، این فیلدها حیاتی هستند:

TargetUserName

GroupMembership

LogonType

dest

user

src_ip

تحلیل قانون: جعل هویت ادمین دامین

دارایی هدف (Target Asset)