防范 Active Directory 攻击

最新推荐文章于 2024-08-30 08:34:41 发布
最新推荐文章于 2024-08-30 08:34:41 发布
阅读量2.5k 收藏 34
点赞数 78
分类专栏: 网络研究观 文章标签: 安全 AD 网络 系统 攻击 实践 防护
本文链接:https://blog.csdn.net/qq_29607687/article/details/141000991
版权

关注公众号网络研究观获取更多内容。

Active Directory (AD) 是组织 Windows 网络的核心,可默默协调用户访问、身份验证和安全性。

但您真的了解它的工作原理吗?本博客将揭开 AD 的层层面纱,揭示其核心组件以及它们如何实现集中控制。探索 AD 如何简化管理、增强安全性并确保无缝网络运行。

什么是 Active Directory?

Active Directory 是 Microsoft 为 Windows 域网络开发的一项服务。它为网络管理和安全性提供了一个集中位置,并且存在于大多数 Windows Server 操作系统中。

AD 管理用户授权和身份验证,使网络管理员能够集中控制用户、PC、打印机和其他设备。

AD 可以看作是包含各种信息(例如计算机、用户、打印机和其他设备)的电话簿。Active Directory 允许用户使用单一凭据在整个网络中进行身份验证。

  • AD 的组成部分
    • Domains:
      • AD 内组织的基本单位。
      • 域包含共享一个公共数据库的对象集合(例如用户、计算机和组)。
      • 每个域都有自己的安全策略和身份验证机制。
    • Trees :
      • 按分层结构分组在一起的一个或多个域的集合。
      • 树内的域共享连续的命名空间(例如,example.com、sub.example.com)。
    • Forests:
      • AD 中最顶层的逻辑容器。
      • 一个林可以包含多个域树。
      • 林中的域共享一个公共模式和全局目录,但可能没有连续的命名空间。
    • 组织单位 (OU):
      • 用于组织域内的对象(用户、组、计算机)的容器。
      • OU 通过对相关对象进行逻辑分组来帮助管理和委派管理任务。
    • 组策略对象 (GPO):
      • 用于定义和强制执行用户和计算机的设置(策略)的工具。
      • GPO 可以链接到域、OU 和站点,以控制整个网络的安全性、软件安装和其他配置。
  • 关键术语
    • 用户:这些是为需要访问网络的人创建的个人帐户。每个用户帐户都有一个唯一的用户名和密码,用于身份验证和授权。
    • :组是用户帐户、计算机帐户或其他组的集合。它们允许集体应用权限和策略,而不是单独应用,从而简化管理。
    • 计算机:这些代表网络内的物理或虚拟机。计算机帐户用于管理和验证作为域一部分的机器。
    • 信任:信任是不同域之间建立的关系,允许一个域中的用户访问另一个域中的资源。信任可以是单向的,也可以是双向的,有助于网络不同部分之间的资源共享和协作。
  • AD 安全的重要性
    • 中央控制点: Active Directory (AD) 是管理用户访问、身份验证和权限的中央枢纽。如果受到攻击,攻击者可以控制整个网络。
    • 数据保护: AD 存储有关用户、计算机和设备的敏感信息。加强 AD 安全性对于保护这些关键数据免遭未经授权的访问和泄露至关重要。
    • 缓解攻击: AD 是网络攻击的常见目标,包括网络钓鱼、勒索软件和内部威胁。增强AD 安全性有助于防止这些攻击并降低成功入侵的风险。

Active Directory 攻击

活动目录攻击分为下面三个不同的阶段。

  1. AD 上的初始攻击媒介。
  2. 入侵后枚举
  3. 入侵后攻击。

1. AD 的初始攻击向量

假设我们通过访问组织内的 Windows 计算机在 Active Directory (AD) 环境中建立了立足点。

以下绕过和攻击是一些初始步骤,我们可以采取这些步骤进一步绕过允许我们在 AD 环境中执行恶意脚本的安全机制。

  • 绕过
    • AMSI 绕过
    • DLP 绕过
    • Powershell 攻击 – 降级、策略绕过
    • AV 和监控绕过
  • 攻击
    • LLMNR 中毒 
    • 捕获 NTLMv2 哈希 
    • 破解哈希 
    • SMB 中继攻击
    • LDAP 中继攻击 
    • IPv6 MiTM 攻击 
    • 枚举用户名的 Kerberos 
    • 使用 rpclient 枚举用户名
    • AS-Rep Roasting 
    • 枚举 SMB 共享 

2. 入侵后枚举

现在我们已经获得了访问权限并收集了初始攻击的数据,是时候对 Active Directory (AD) 环境进行枚举了。此过程涉及收集其他信息以更好地了解 AD 结构并识别潜在的漏洞或攻击路径。让我们探索枚举的步骤:

  • Powerview 枚举:利用强大的 PowerShell 脚本 Powerview 来查询 AD 对象、发现组成员身份并发现潜在的攻击媒介。
  • BloodHound/SharpHound 枚举: BloodHound 是一种可视化工具,它依赖于 SharpHound 收集的数据。SharpHound 收集有关用户、组、ACL 等的信息。分析这些数据有助于识别特权提升机会。
  • 使用服务器管理器进行枚举:考虑使用服务器管理器(在 Windows Server 上可用)来探索与 AD 相关的组件,例如域控制器、DNS 服务器和组策略。 

3. 入侵后攻击

我们已经收集了必要的数据,让我们讨论一下针对 Active Directory (AD) 环境中其他系统和组件的一些有针对性的攻击策略:

  1. 使用 Mimikatz 转储哈希: Mimikatz 是一种开源黑客工具,可从受感染的 Windows 计算机中提取凭据信息。它突出显示 Microsoft 身份验证协议中的漏洞,例如 Windows 新技术 LAN 管理器 (NTLM)。随着时间的推移,Mimikatz 已成为渗透测试和红队参与的标准工具。
    1. 从内存或磁盘密码存储中提取凭证数据(包括纯文本密码、密码、Kerberos 票证和 NTLM 密码哈希)。
    2. 通过使用窃取的凭证(例如,创建黄金票或使用传递哈希技术)向本地网络内的其他机器进行身份验证,执行横向移动。
  2. ACL 枚举:访问控制列表 (ACL) 控制对用户帐户、组和组织单位等对象的访问。每个对象都有一个包含其 ACL 的安全描述符,其中概述了自主访问控制列表 (DACL) 授予的权限。DACL 指定谁可以对对象执行操作。

    这些信息可帮助攻击者提升权限、保持持久性或进一步利用受​​感染的环境。

  3. 传递哈希/密码:传递哈希是一种攻击技术,攻击者使用哈希密码向远程服务器或服务进行身份验证,而无需知道实际的明文密码。这可以让攻击者在网络内横向移动并获得更高级别的访问权限。

    如果攻击者可以获得散列密码,他们就可以使用它来访问其他系统并提升他们的权限,而无需破解散列。

  4. 敏感文件转储:攻击者经常试图提取敏感文件,以便为进一步利用提供有价值的信息。主要目标包括 unattend.xml、SYSVOL 目录中的文件、SAM 和 SYSTEM 文件以及 NTDS.dit 文件
    1. unattend.xml:此文件包含 Windows 安装期间使用的配置设置。攻击者可能会提取它来发现系统详细信息,例如域名、用户名和密码。
    2. SYSVOL 目录文件:SYSVOL 目录存储组策略对象和脚本。攻击者可能会在此目录中寻找敏感文件,例如登录脚本或组策略首选项,这些文件可能会泄露凭据或其他关键信息。
    3. SAM 和 SYSTEM 文件:安全帐户管理器 (SAM) 数据库存储本地用户帐户信息,包括密码哈希值。SYSTEM 文件包含系统特定数据。通过提取这些文件,攻击者可以尝试离线密码破解或传递哈希攻击。
    4. NTDS.dit 文件:NTDS.dit 文件是 Active Directory (AD) 的一部分,包含用户帐户信息,包括密码哈希。提取此文件允许攻击者对 AD 帐户进行离线攻击。
  5. TGT 收集:TGT 收集是指从内存或网络流量中提取票证授予票证 (TGT) 的过程。通过这样做,攻击者无需用户密码即可访问网络资源。本质上,这是一种利用身份验证机制的技术。
  6. 使用 mimikatz 传递票证:传递票证是一种攻击技术,攻击者使用窃取的 Kerberos 票证(TGT 或服务票证)对网络内的服务进行身份验证。这可以让攻击者横向移动并提升其权限。

    Kerberos 票证可以授予对网络内各种资源的访问权限。如果攻击者获得票证,他们可以冒充票证持有者并访问敏感数据和系统。

  7. Golden/Silver Ticket 攻击:Kerberos 是 Active Directory (AD) 环境中常用的一种身份验证协议,用于验证用户身份。该过程涉及密钥分发中心 (KDC) 签发票证,其中包括票证授予票证 (TGT) 和服务票证 (TGS)。
    1. Golden Ticket:攻击者可以通过获取 KRBTGT 帐户哈希的访问权限来创建伪造的 TGT。借助黄金票证,攻击者可以无限期地访问域内的任何服务,从而绕过正常的身份验证。
    2. Silver Ticket:同样,攻击者可以通过访问服务帐户的哈希来创建伪造的 TGS。银票无需有效的 TGT 即可提供对特定服务的访问权限。
  8. Kerberoasting:Kerberoasting 是一种利用 AD 中的 Kerberos 身份验证协议的攻击技术。攻击者为服务账户请求服务票证,然后尝试离线破解票证以获取明文密码。

    服务账户通常具有较高的权限。如果攻击者成功破解票据,他们就可以访问关键系统和数据。

  9. 万能钥匙:Skeleton Key 万能钥匙是一种恶意软件,可渗透到域控制器 (DC) 的内存中。它会改变身份验证过程,以接受“主”密码和合法用户密码。因此,攻击者可以使用主密码以任何用户身份登录,从而有效地绕过正常的身份验证机制。
  10. DCsync 攻击: DCsync 是一种攻击类型,攻击者使用目录复制服务远程协议 (MS-DRSR) 模仿域控制器的行为。通过这样做,攻击者可以从其他域控制器请求复制用户帐户凭据,包括密码哈希。
  11. 中间人 (MITM) 攻击:当攻击者拦截并可能改变认为双方正在直接通信的双方之间的通信时,就会发生 MITM 攻击。这可能会危及敏感的 AD 通信,例如身份验证过程和数据交换。

最后的话

由于组织继续依赖 Active Directory 来管理网络资源和用户访问,因此彻底掌握其功能和安全注意事项是必不可少的。警惕管理和持续改进 AD 安全实践将有助于防范新出现的威胁并维护安全的网络基础设施。采取主动的方法,确保您的 AD 环境保持安全和正常运行。

网络研究观
关注
  • 78
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 31
    评论
专栏目录
Active Directory中常见的安全问题及解决方案
weixin_33851429的博客
09-14 2794
本文讲的是Active Directory中常见的安全问题及解决方案,过去这几年与客户的会面是十分有启发性的,因为虽然每个环境都很独特,但往往却遇到了同样的问题。这些问题往往归结为企业使用了十年以上的旧版微软管理平台。 我在今年的几个安全会议上谈到了Active Directory攻击和防御,包括BSides,Shakacon,Black Hat,DE...
木马攻击防范
谦言万语的专栏
03-18 2202
BO2K下载: http://sourceforge.jp/projects/sfnet_bo2k/releases/ http://sourceforge.net/projects/bo2k/?source=pdlp 使用说明: BO2K Core Package and Plugins Version v1.1.6 Table of Contents:
DCEPT:主动防御的微软Active Directory蜜罐凭证陷阱
最新发布
gitblog_00709的博客
08-30 836
DCEPT:主动防御的微软Active Directory蜜罐凭证陷阱 dceptA tool for deploying and detecting use of Active Directory honeytokens项目地址:https://gitcode.com/gh_mirrors/dc/dcept 在网络安全的战场上,每一步预防措施都至关重要。DCEPT(Domain Control...
Windows Server 2008 Active Directory 域服务新增功能
weixin_34032827的博客
11-23 224
Windows Server 2008 Active Directory 域服务新增功能 Posted by 尹揆 本文转载自Gil Kirkpatrick Gil Kirkpatrick 是 NetPro 的 CTO,他自 1996 年起便一直参与开发 Active Directory 软件。他与来自 HP 的 Guido Grillenmeier ...
【技术分享】Active Directory 证书服务攻击与防御(一) .pdf
09-05
Active Directory 证书服务攻击与防御》 在网络安全领域,Active Directory (AD) 证书服务是至关重要的组件,它负责管理和分发数字证书,以确保网络通信的安全。然而,如同任何技术一样,AD证书服务也存在潜在的...
Windows-AD-environment-related:此存储库包含与Windows Active Directory环境利用有关的内容
05-06
这个名为"Windows-AD-environment-related"的存储库显然专注于Windows AD环境的利用和安全审计,涉及到的安全领域包括活动目录(Activedirectory)、利用技巧(exploitation)以及Windows平台的漏洞利用(windows-...
Active Directory安全审计和日志管理
Active Directory安全审计是指对Active Directory环境中的安全事件进行监控、记录和分析的过程。它对于维护和加强组织的网络安全至关重要。通过对Active Directory操作的审计,可以及时发现潜在的安全风险,并采取...
Active Directory的跨域信任和资源共享
## 第一章:理解Active Directory和跨域信任 ### 1.1 介绍Active Directory Active DirectoryAD)是微软开发的一种目录服务,用于管理组织内的网络资源和安全性。它提供了对用户、计算机、打印机等各种对象的...
2022年有多少人使用微信?
热门推荐
网络研究观
12-15 2万+
预计到 2025 年将达到 25 亿用户。
ChatGPT 存在很大的隐私问题
网络研究观
04-08 2万+
数据最终如何进入 GPT-4 之类的东西,存在这种分层和复杂的供应链,从来没有真正设计或默认的任何类型的数据保护。
2021年加密货币犯罪报告
网络研究观
09-07 1万+
关于当今网络犯罪分子如何使用加密货币的原创研究和案例研究。
如何一键关闭win安全中心(Windows Defender )
网络研究观
05-14 1万+
用于设置 Windwos Defender 状态(开关),和卸载 Windows Defender 相关组件。
2022年统计的27个网络安全漏洞数据信息
网络研究观
06-25 1万+
在这篇文章中,我们汇总了进入 2022 年需要注意的主要网络安全漏洞统计数据和信息。
大规模 ESXiArgs 勒索软件攻击以全球 VMware ESXi 服务器为目标
网络研究观
02-08 1万+
攻击者利用 VMware ESXi 服务器一个已有两年之久的远程代码执行漏洞未打补丁,以部署新的 ESXiArgs 勒索软件。
GitHub要求所有用户在2023年底前启用双因素身份验证
网络研究观
12-17 1万+
到了截止日期后,用户将开始在 GitHub 上看到启用 2FA 的提示,再持续一周,如果他们不采取行动,他们将被阻止访问 GitHub 功能。
CPU-X 是 Linux 的 CPU-Z 的替代品
网络研究观
10-03 1万+
如果你想要在 Linux 上使用类似于 CPU-Z 的东西,那么你很幸运。GitHub 上名为X0rg的开发人员为 Linux 创建了一个名为 CPU-X 的 CPU-Z 克隆。
网络安全工程师做什么?
网络研究观
03-22 1万+
消息灵通是绝对必要的,寻找有关可能对网络安全产生影响的新威胁、新攻击和全球事件的新闻。
从电源 LED 读取智能手机的秘密?
网络研究观
06-19 1万+
通过密切监视功耗、声音、电磁辐射或执行操作所需的时间等特性,攻击者可以收集足够的信息来恢复构成加密算法安全性和机密性基础的密钥。
评论 31
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值