AD域安全攻防实践(附攻防矩阵图)

这篇具有很好参考价值的文章主要介绍了AD域安全攻防实践(附攻防矩阵图)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

以域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。

01、攻击篇

针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把域环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD域攻防矩阵图。

ad域安全攻防实践(附攻防矩阵图),【AD域安全检测】,安全,服务器,网络,运维

(1)域内信息收集

当攻击者获得内网某台域内服务器的权限,就会以此为起始攻击点,尽可能地去收集域的信息,例如:攻击者会先在进行本机信息收集,找到域控服务器地址,收集域内用户和管理员的信息列表,使用BloodHound、PVEFindADUser、PsLoggedOn等工具进一步定位域管理员,以找到域控的最佳攻击路径。

(2)域内权限提升

攻击者在内网横向过程中,可以通过入侵域管理员所登录的服务器,利用漏洞获取服务器system权限,找到域管理的账号、进程或是身份验证令牌,从而获取域管理员权限。

在域控服务器未及时更新补丁的情况下,攻击者可以通过域内权限提升漏洞直接攻击域控,将域内普通用户权限提升至域管权限。如MS14-068、NetLogon特权提升漏洞(CVE-2020-1472)、CVE-2021-42278 & CVE-2021-42287、CVE-2022-26963、CVE-2021-1675等,一旦被攻击者利用成功,可直接获得域管理员权限。

(3)域内凭证获取

攻击者在没有域用户凭据时,往往会使用暴力破解、密码喷洒等手段进行域用户凭证的获取。

攻击者在获得服务器权限后,可以通过LSASS窃取凭证、DCSync、ntds.dit文件提取等方式收集目标主机上的相关凭证,以便通过用户凭证进行横向移动。

(4)域内横向移动

攻击者通过收集域内用户的凭证信息在内网中横向移动,不断地扩大资产范围,并不断地重复信息收集的步骤,直至攻击者获得关键目标。

横向移动攻击手法包括:IPC连接、At/Schtasks计划任务、PsExec、WMI、WMIRM、哈希传递攻击(Pass the hash)、票据传递攻击(Pass the ticket)、密钥传递攻击(Pass the key)等。

(5)域内权限维持

当攻击者在获取域控权限后,会通过一定的持久化操作以维持域管权限,从而达到长期控制域控的目的。

域内权限维持的手法包括黄金票据、白银票据、Skeleton Key(万能密码)、DSRM域后门、注入SSP、SID History后门、AdminSDHolder、GPO组策略后门、DCShadow、约束委派、基于资源的约束委派 、基于ACL的后门等。

02、防护篇

针对AD域安全防护产品,商业的如Microsoft Defender for Identity、Tenable.ad、ITDR-AD,开源的WatchAD,都是可以选择的方向。面对众多的AD域攻击行为,我们也可以选择自建检测策略,通过分析AD域控的日志,对攻击行为进行实时检测。

将AD域日志引入日志分析平台,通过模拟域攻击行为产生攻击事件,以攻击日志提取关键特征,构建安全规则,形成检测策略。

自建检测策略很难全部覆盖,这很大程度上就取决于自身对AD域攻防的理解。为此我们需要把精力投入到那些攻击者最常用的域攻击技术上,比如BloodHound信息收集、域管账号创建、LSASS凭证窃取、哈希传递攻击、黄金票据攻击等。

(1)信息收集

攻击者在收集一定信息后,通过BloodHound定位域管理员以找到最佳攻击路径。通过监测5145事件,可识别到可疑的Sharphound域信息探测行为。

ad域安全攻防实践(附攻防矩阵图),【AD域安全检测】,安全,服务器,网络,运维

(2)权限提升

攻击者会通过各种方式来获取域控权限,最直接的方式就是添加一个域管理员账号。通过监测4728事件,关注敏感用户组特权账号添加情况。

ad域安全攻防实践(附攻防矩阵图),【AD域安全检测】,安全,服务器,网络,运维

(3)凭证获取

窃取凭证最常用的一种方式就是使用mimikatz获取LSASS内存中保存的用户凭证。通过监测4663事件,从而发现尝试LSASS进程窃取凭证的操作。

ad域安全攻防实践(附攻防矩阵图),【AD域安全检测】,安全,服务器,网络,运维

(4)横向移动

在内网横向过程中,哈希传递攻击是最常用的手法,但因为和正常的访问行为非常类似,检测是比较困难的。通过监测4624事件,设置白名单机制,从正常的访问行为中,找出异常登录行为。

ad域安全攻防实践(附攻防矩阵图),【AD域安全检测】,安全,服务器,网络,运维

(5)权限维持

攻击者常用黄金票据来做域控权限维持,利用krbtgt的hash来伪造TGT,就可以随意伪造域内管理员用户。通过监测4624事件,利用帐户与SID的对应关系,可以找到伪造的用户,从而识别可疑的黄金票据攻击。

ad域安全攻防实践(附攻防矩阵图),【AD域安全检测】,安全,服务器,网络,运维

(6)痕迹清除

为避免入侵行为被发现,攻击者总是会通过各种方式来清除痕迹,最简单粗暴的就是清除安全日志。通过监测1102事件,可以监控安全日志被清除的操作。

ad域安全攻防实践(附攻防矩阵图),【AD域安全检测】,安全,服务器,网络,运维

03、结束语

基于AD域控的日志分析,将AD域攻防矩阵图与安全检测策略进行对应,自建安全检测策略30+,覆盖常见的域攻击手法,并持续地扩展和优化检测策略,从而保障AD域的安全。

我想,这个探索的过程,最大的收获莫过于对安全日志的分析和攻击场景构建的深刻理解。文章来源地址https://www.toymoban.com/news/detail-803470.html

到了这里,关于AD域安全攻防实践(附攻防矩阵图)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows Server AD域控服务器升级/迁移(AD域控的五大角色转移)

    本文主要介绍在现有域环境下如何进行域控服务器的迁移/升级操作。对于域结构的网络来说,域控制器的重要性不言而喻。如果网络中唯一的域控制器突然崩溃,将是一场灾难。所以如果有条件的话,建议在网络中备有额外域控制器。域控制器可以进行用户认证,登录等工作

    2024年02月09日
    浏览(44)
  • Windows基线安全检测-安全配置检测

    Windows在生产环境中是使用最多的一个系统,大部分为客户端,少部分为服务端; 然而其实很多用户对windows系统不是很了解,安全配置更是如此; 因此我们安全人员要定期对员工的主机做必要的安全检测,其中基线的定期检测就是方式之一; 以下则是我亲自编写测试上线使

    2024年04月16日
    浏览(46)
  • AD域服务器搭建指南

    VMWare 软件 Windows Server 2016 本文选择的系统是 Windows Server 2016 ,和大多数虚拟机安装过程一样,首先下载相关镜像,下载链接: windows server 2016 镜像下载 将下载好的镜像文件放入虚拟机中,并按照指示进行安装,安装成功之后,开始配置server。安装成功后的桌面如下: Server网络

    2024年02月06日
    浏览(32)
  • 内容安全检测【图文检测】(微信小程序心得)

            有UGC内容的微信小程序上架之前有一个明确的内容安全指引,需要使用一些微信小程序自带的图文媒体api 拦截一些不合规的情况。以下分享一下项目案例,以图文为主,后台为云函数,咱们用文字检测抛砖引玉,图片差不多。         首先看下使用到的文字检

    2024年03月15日
    浏览(47)
  • 什么是安全测试报告,怎么获得软件安全检测报告?

    安全测试报告 软件安全测试报告: 是指测试人员对软件产品的安全缺陷和非法入侵防范能力进行检查和验证的过程,并对软件安全质量进行整体评估,发现软件的缺陷与 bug,为开发人员修复漏洞、提高软件质量奠定坚实的基础。 第三方软件测试机构是按照国家检测相关标准

    2024年02月11日
    浏览(47)
  • 小程序安全检测(一)

    1、 明文或弱加密传输用户名、密码和验证码等敏感信息 整改优先级 :高 问题描述 : 用户登录过程中,在与服务器端交互时明文或弱加密传输用户名、密码或者验证码等,可导致用户敏感信息泄露。 检测方法 : 利用burpsuite对被测应用进行监听,点击登录或修改密码,请求

    2024年02月09日
    浏览(42)
  • 微软 AD 介绍 | 安全建议 | 防护

    什么是Active Directory(AD)? Active Directory 是由 微软开发的目录服务,用于存储和管理网络中的资源,如计算机、用户、组和其他网络对象。 允许组织管理员轻松地管理和验证网络中的用户和计算机。 Active Directory的角色: 身份验证和授权: 管理用户的身份验证和授权,确保

    2024年01月25日
    浏览(37)
  • 旋变检测AD2s1205手册学习笔记

    信号丢失检测 检测原理 :任一旋变输入(正弦或余弦)降至指定的LOS正弦/余弦阈值 以下时,器件会检测到信号丢失(LOS)。AD2S1205通过将 监视信号与固定最小值进行比较检测此点 丢失的效果表现 :LOS由DOS和LOT引脚均闩锁为逻辑低电平输 出来表示 恢复条件 :DOS引脚和LOT引脚通过

    2024年02月02日
    浏览(32)
  • 容器安全检测工具KubeHound使用

    目录 前言 安装 下载kubehound 启动kubehound后端服务 连接服务器 参考

    2024年02月03日
    浏览(34)
  • 安全检测(AppScan)安装与使用

    (上) 安装 898的百度云中下载 .dll文件要与下载解压安装(管理员启动安装包)成功后的包内.dll文件进行替换,复制进去点击重复替换即可   进入软件页面后点击help,然后点击license,接着点击switch xxx。。。。。;最后点击Configuration中的➕选择百度云下载的安装包中txt文件

    2024年02月04日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包