MaLDAPtive 是一个用于 LDAP SearchFilter 解析、混淆、反混淆和检测的框架。
其基础是 100% 定制的 C# LDAP 解析器,该解析器处理标记化和语法树解析以及众多自定义属性,可实现准确、高效的 LDAP SearchFilter 混淆、反混淆和检测。
该项目的其余部分是一个 PowerShell 包装器,旨在实现最大的灵活性、随机化和管道功能,以便在单个命令中无缝连接所有所需功能。
所需软件包:PowerShell 7.1、.NET 6.0 (LTS)。
作为捍卫者,从研究一开始我们就希望以负责任的方式发布信息和框架,并决定分两阶段发布。这个决定是我们自己的,我们在 CFP 提交中明确阐述了这种两阶段方法。
因此,在本研究的初始版本中,我们将发布除混淆模块之外的所有代码。至少 4 个月后,我们将发布混淆模块以及本研究的第二部分(具体日期待定,具体取决于待提交的 CFP)。
我们的目的是让防御者提前数月设置所需的 LDAP SearchRequest 遥测并实施我们在本次研究中发布的完整检测规则集。
Module Name | Release Date |
---|---|
LDAP Parser | 2024-08-07 |
Deobfuscation Module | 2024-08-07 |
Detection Module | 2024-08-07 |
Detection Ruleset | 2024-08-07 |
Telemetry Module | 2024-08-07 |
Obfuscation Corpus | 2024-08-07 |
Obfuscation Module | Intentionally delayed release |
交互模式是该函数中丰富多彩的菜单驱动体验Invoke-Maldaptive
(它还通过自己的内置 CLI 支持非交互功能)。它旨在促进对所有可用函数的探索,并使用彩色突出显示来放大每个函数返回的重要细节。此功能中还有一些特殊的动画 ASCII 艺术,因此我们建议先试一试。
**
菜单探索支持完整的正则表达式和基本通配符,并具有由、***
和命令定义的特殊自动菜单遍历选项****
。您可以随时输入HELP
或TUTORIAL
获取更多指导。
任何时候,都可以从交互式菜单中查看、复制或完全导出每一层混淆或反混淆的完整详细信息。MaLDAPtive 还在同一菜单中显示完整的 CLI 支持,因此可以使用交互模式“创建混淆配方”,然后轻松导出为简单的一行命令。
整个检测模块也内置在交互式菜单中,始终显示规则计数和总检测分数。运行FIND-EVIL
将给出针对当前模糊 LDAP SearchFilter 以毫秒为单位评估的检测报告的完整摘要。
最后,我们发布了 1,337 个经过混淆的 LDAP SearchFilter 语料库,供检测工程师使用。这些经过混淆的样本也可以通过以下命令轻松用于测试检测模块:
Get-Content ./Corpus/ObfuscatedSearchFilters.txt | Get-Random | Find-Evil -Summarize | Show-EvilSummary