【AD域安全检测】
文章平均质量分 65
基于AD Event日志构建各种安全风险场景,实时检测域控攻击行为。
Bypass--
一个网络安全爱好者,对技术有着偏执狂一样的追求。致力于分享原创高质量干货,包括但不限于:Web安全、代码审计、内网渗透、应急响应、企业安全等领域。
展开
-
AD域安全攻防实践(附攻防矩阵图)
以域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把域环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD域攻防矩阵图。(1)域内信息收集当攻击者获得内网某台域...原创 2023-03-11 18:01:16 · 3211 阅读 · 1 评论 -
基于AD Event日志监测基于资源的约束委派攻击
01、简介 攻击者在获取到域控权限后,可以利用基于资源的约束委派实现后门,通过对krbtgt用户设置委派属性,以实现达到维持权限的目的。基于AD Event日志监测msDS-AllowedToActOnBehalfOfOtherIdentity属性的修改,从而发现可疑的基于资源的约束委派攻击。02、利用方式(1)设置属性值并查询Set-ADUser krbtgt -Principal...原创 2023-02-03 18:50:00 · 199 阅读 · 0 评论 -
基于AD Event日志监测约束委派攻击
01、简介 假设服务账号配置了到域控的约束性委派,当攻击者获取了服务账号,可以作为变种黄金票据,用作后门权限维持。 基于AD Event日志监测msDS-AllowedToDelegateTo属性的修改,从而发现可疑的约束委派攻击。02、利用方式(1)通过powershell添加test用户到krbtgt的约束委派Import-Module ActiveDirectory$user...原创 2023-02-06 14:37:00 · 223 阅读 · 0 评论 -
基于AD Event日志监测域委派后门
01、简介域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。攻击者在获取到域控权限后,可以利用约束委派或者基于资源的约束委派实现后门,以实现达到维持权限的目的。基于AD Event日志监视对特定 Active Directory 属性的修改,从而发现可疑的域委派后门。02、约束委派攻击场景假设服务账号配置了到域控的约束性委派,当攻击者控制了服务账号,就可以伪造任意用户...原创 2023-02-06 20:00:19 · 295 阅读 · 0 评论 -
基于AD Event日志监测AdminSDHolder
01、简介AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制AdminSDHolder,那么它就能同时控制域内的许多组,这可以作为域内权限维持的方法。基于AD E...原创 2023-01-16 00:40:00 · 529 阅读 · 0 评论 -
基于AD Event日志识别SID History后门
01、简介每个用户都有一个关联的安全标识符(SID),SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。当攻击者获得了域管理员权限,就可以将SID History作为实现持久化的方法。通过AD Event日志如何找到SID ...原创 2023-01-13 08:00:16 · 220 阅读 · 0 评论 -
基于AD Event日志识别Skeleton Key后门
01、简介Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作手法,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情况下,让所有域用户使用同一个万能密码进行登录。另外,它只存在于内存中,如果域控制器重启,注入的 Skeleton Key 将会失效。如何发现Skelenton Key的后门行为,基于AD Ev...原创 2023-01-11 20:03:00 · 168 阅读 · 1 评论 -
基于AD Event日志检测NTDS凭据转储攻击
01、简介在域环境里,域内用户hash存储在域控制器(ntds.dit)中的数据库文件中,ntds.dit文件是无法直接被复制的。在这种情况下,我们一般可以利用卷影复制服务(VSS)来实现ntds.dit的拷贝,然后下载进行离线分析和破解用户哈希。02、利用VSS实现ntds.dit文件提取(1)vssadminWindows卷影工具,使用Vssadmin来管理VSS,用来创建和删除卷影...原创 2022-11-06 23:42:00 · 444 阅读 · 0 评论 -
基于AD Event日志实时检测GPO后门
01、简介在一些勒索病毒的案例中,我们可以看到这样的案例,攻击者通过域控组策略下发勒索病毒加载脚本,从共享服务器下载并执行勒索病毒样本,从而导致内网大规模范围内的病毒感染事件。在域控这种中央集权系统,通过组策略只需要更改一个组策略对象(GPO),就能影响成千上万的计算机,一旦被恶意利用后果不堪设想。基于勒索病毒攻击感染的场景,组策略对象(GPO)的敏感操作需要实时监控,这是保持内网安全所必需的。那...原创 2022-10-24 08:00:18 · 1143 阅读 · 0 评论 -
基于AD Event日志识别DCSync攻击
01、简介DCSync攻击是一种常见的域控攻击方法,利用DCSync导出域内用户的哈希值,本质上就是利用DRS(Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据,以便进一步进行利用。02、DCSync攻击手法(1)MimikatzGithub项目地址:https://github.com/gentilkiwi/...原创 2022-09-07 08:00:04 · 1135 阅读 · 0 评论 -
基于AD Event日志实时检测DSRM后门
01、简介每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目的。域内权限维持的方式有很多,每增加一条安全检测规则,就多一层安全保障。针对DSRM后门,基于AD E...原创 2023-01-08 21:23:26 · 329 阅读 · 0 评论 -
基于AD Event日志识别DCShadow攻击
01、简介DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。DCSync&DCShadow区别在于,DCSync是从域服务器将数据复制出来,而DCShadow是将伪造的数据复制到域服务器。02、攻击过程示例假设我们已经拿到了某台服务器SYSTEM权限,并从沦陷的服务器中获取到了域管理员的账号密码。第一步...原创 2022-10-08 08:00:25 · 450 阅读 · 0 评论 -
基于AD Event日志检测LSASS凭证窃取攻击
01、简介简单介绍一下,LSASS(本地安全机构子系统服务)在本地或域中登录Windows时,用户生成的各种凭证将会存储在LSASS进程的内存中,以便用户不必每次访问系统时重新登录。攻击者在获得起始攻击点后,需要获取目标主机上的相关凭证,以便通过用户凭证进行横向移动,这个技术点最容易关联到的就是获取LSASS内存中保存的用户凭证。一般LSASS窃取凭证有两种方式,第一种就是直接从LSASS...原创 2022-11-30 00:09:00 · 591 阅读 · 0 评论 -
基于AD Event日志检测哈希传递攻击
01、简介哈希传递攻击是基于NTLM认证的一种攻击方式,当我们获得某个管理员用户的密码哈希值,就可以利用密码哈希值进行横向渗透。在域环境中,只有域管理员的哈希值才能进行哈希传递攻击,攻击成功后,可以访问域内任何一台机器。基于AD Event日志如何检测哈希传递攻击,这个就是我们今天探讨的话题。02、哈希传递攻击实例(1)使用mimikatz 进行哈希传递获取域控权限在域环境中,当我们获...原创 2022-12-08 20:29:00 · 464 阅读 · 0 评论 -
基于AD Event日志识别黄金票据攻击
01、简介黄金票据(Golden Ticket)是基于Kerberos认证的一种攻击方式,常用来做域控权限维持。当攻击者获取到域内krbtgt帐户的SID和HASH,就可以随意伪造域内管理员用户,再加上域帐户krbtgt的密码基本不会更改,即使域管修改了密码,攻击者依然可以通过黄金票据获取域管理员权限。在域环境中,黄金票据无疑是一种特别危险的攻击,是域控权限失陷的特征,基于AD Event日志如何...原创 2022-12-18 20:08:41 · 484 阅读 · 1 评论 -
基于AD Event日志识别域用户密码攻击
01、简介针对域用户密码攻击,攻击者通常都会使用两种攻击方式进行测试,即:暴力破解(Brute Force)和密码喷洒(Password Spraying)。暴力破解(Brute Force)攻击,攻击者通过利用大量猜测和穷举的方式来尝试获取用户口令。密码喷洒(Password Spraying)攻击,针对不同的用户账户使用一两个通用密码进行自动化密码猜测,以此来避免单个账户连续密码猜测被锁定,提...原创 2022-10-17 08:00:16 · 2116 阅读 · 0 评论 -
基于AD Event日志监测域内信息探测行为
01、简介当攻击者获得内网某台域内服务器的权限,就会以此为起始攻击点,尽可能地去收集域的信息,以获取域控权限作为内网的终极目标。例如,攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息,通过定位域管理员以找到最佳攻击路径,从而拿到域管理员权限。针对域内信息探测的行为,是攻击者入侵的前兆,基于AD Event日志检测攻击者的信息探测行为,就可以预先给安全管理员发出告警,帮助安全管理员找到网络中...原创 2022-12-25 22:05:38 · 954 阅读 · 0 评论