Mostrar diferencias en NTDS.dit para forense o monitorización

 Estimados amigos de Inseguros !!!

En el capítulo de hoy vamos a mostrar una herramienta muy interesante a mi parecer para dos propósitos principalmente. Una herramienta que es capaz de mostrar las diferencias entre dos versiones de la base de datos del Directio Activo, NTDS.Dit.

El proceso de descarga del fichero lo puedes hacer de las muchas maneras que hay.  Ya sabes que es un base de datos abierta, no puedes ir al "sitio" y copiarlo.

Mi opción más sencilla es esta:

powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\temp' q q"

Una vez tenemos el fichero, procedemos a realizar algún cambio en algún objeto del AD para poder reflejarlo en el informe.

Volvemos a ejecutar el comando de extracción y es cuando ejecutamos la herramienta NtdsDiff del genio https://twitter.com/0gtweet.

Siguiendo escrupulosamente el orden y nombre de los ficheros como nos piden el script, tenemos un reporte amable donde ver los cambios.

Como decíamos, se me ocurre usarlo de manera defensiva, para intentar detectar movimientos sobre todo de persistencia, y en actividades DFIR donde podemos ver muchos hallazgos concentrados.

El uso que cada uno le de depende del contexto, pero seguro que es una herramienta buena a tener en cuenta.

Como siempre, gracias por leerme !!!

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.