以域控為基礎(chǔ)架構(gòu)，通過域控實現(xiàn)對用戶和計算機資源的統(tǒng)一管理，帶來便利的同時也成為了最受攻擊者重點攻擊的集權(quán)系統(tǒng)。

01、攻擊篇

針對域控的攻擊技術(shù)，在Windows通用攻擊技術(shù)的基礎(chǔ)上自成一套技術(shù)體系，將AD域攻防分為信息收集、權(quán)限提升、憑證竊取、橫向移動、權(quán)限維持等攻擊階段，把域環(huán)境下眾多且繁雜的攻擊行為映射到ATT&CK，梳理成一個AD域攻防矩陣圖。

（1）域內(nèi)信息收集

當(dāng)攻擊者獲得內(nèi)網(wǎng)某臺域內(nèi)服務(wù)器的權(quán)限，就會以此為起始攻擊點，盡可能地去收集域的信息，例如：攻擊者會先在進行本機信息收集，找到域控服務(wù)器地址，收集域內(nèi)用戶和管理員的信息列表，使用BloodHound、PVEFindADUser、PsLoggedOn等工具進一步定位域管理員，以找到域控的最佳攻擊路徑。

（2）域內(nèi)權(quán)限提升

攻擊者在內(nèi)網(wǎng)橫向過程中，可以通過入侵域管理員所登錄的服務(wù)器，利用漏洞獲取服務(wù)器system權(quán)限，找到域管理的賬號、進程或是身份驗證令牌，從而獲取域管理員權(quán)限。

在域控服務(wù)器未及時更新補丁的情況下，攻擊者可以通過域內(nèi)權(quán)限提升漏洞直接攻擊域控，將域內(nèi)普通用戶權(quán)限提升至域管權(quán)限。如MS14-068、NetLogon特權(quán)提升漏洞（CVE-2020-1472）、CVE-2021-42278 & CVE-2021-42287、CVE-2022-26963、CVE-2021-1675等，一旦被攻擊者利用成功，可直接獲得域管理員權(quán)限。

（3）域內(nèi)憑證獲取

攻擊者在沒有域用戶憑據(jù)時，往往會使用暴力破解、密碼噴灑等手段進行域用戶憑證的獲取。

攻擊者在獲得服務(wù)器權(quán)限后，可以通過LSASS竊取憑證、DCSync、ntds.dit文件提取等方式收集目標(biāo)主機上的相關(guān)憑證，以便通過用戶憑證進行橫向移動。

（4）域內(nèi)橫向移動

攻擊者通過收集域內(nèi)用戶的憑證信息在內(nèi)網(wǎng)中橫向移動，不斷地擴大資產(chǎn)范圍，并不斷地重復(fù)信息收集的步驟，直至攻擊者獲得關(guān)鍵目標(biāo)。

橫向移動攻擊手法包括：IPC連接、At/Schtasks計劃任務(wù)、PsExec、WMI、WMIRM、哈希傳遞攻擊（Pass the hash）、票據(jù)傳遞攻擊（Pass the ticket）、密鑰傳遞攻擊（Pass the key）等。

（5）域內(nèi)權(quán)限維持

當(dāng)攻擊者在獲取域控權(quán)限后，會通過一定的持久化操作以維持域管權(quán)限，從而達到長期控制域控的目的。

域內(nèi)權(quán)限維持的手法包括黃金票據(jù)、白銀票據(jù)、Skeleton Key（萬能密碼）、DSRM域后門、注入SSP、SID History后門、AdminSDHolder、GPO組策略后門、DCShadow、約束委派、基于資源的約束委派 、基于ACL的后門等。

02、防護篇

針對AD域安全防護產(chǎn)品，商業(yè)的如Microsoft Defender for Identity、Tenable.ad、ITDR-AD，開源的WatchAD，都是可以選擇的方向。面對眾多的AD域攻擊行為，我們也可以選擇自建檢測策略，通過分析AD域控的日志，對攻擊行為進行實時檢測。

將AD域日志引入日志分析平臺，通過模擬域攻擊行為產(chǎn)生攻擊事件，以攻擊日志提取關(guān)鍵特征，構(gòu)建安全規(guī)則，形成檢測策略。

自建檢測策略很難全部覆蓋，這很大程度上就取決于自身對AD域攻防的理解。為此我們需要把精力投入到那些攻擊者最常用的域攻擊技術(shù)上，比如BloodHound信息收集、域管賬號創(chuàng)建、LSASS憑證竊取、哈希傳遞攻擊、黃金票據(jù)攻擊等。

（1）信息收集

攻擊者在收集一定信息后，通過BloodHound定位域管理員以找到最佳攻擊路徑。通過監(jiān)測5145事件，可識別到可疑的Sharphound域信息探測行為。

（2）權(quán)限提升

攻擊者會通過各種方式來獲取域控權(quán)限，最直接的方式就是添加一個域管理員賬號。通過監(jiān)測4728事件，關(guān)注敏感用戶組特權(quán)賬號添加情況。

（3）憑證獲取

竊取憑證最常用的一種方式就是使用mimikatz獲取LSASS內(nèi)存中保存的用戶憑證。通過監(jiān)測4663事件，從而發(fā)現(xiàn)嘗試LSASS進程竊取憑證的操作。

（4）橫向移動

在內(nèi)網(wǎng)橫向過程中，哈希傳遞攻擊是最常用的手法，但因為和正常的訪問行為非常類似，檢測是比較困難的。通過監(jiān)測4624事件，設(shè)置白名單機制，從正常的訪問行為中，找出異常登錄行為。

（5）權(quán)限維持

攻擊者常用黃金票據(jù)來做域控權(quán)限維持，利用krbtgt的hash來偽造TGT，就可以隨意偽造域內(nèi)管理員用戶。通過監(jiān)測4624事件，利用帳戶與SID的對應(yīng)關(guān)系，可以找到偽造的用戶，從而識別可疑的黃金票據(jù)攻擊。

（6）痕跡清除

為避免入侵行為被發(fā)現(xiàn)，攻擊者總是會通過各種方式來清除痕跡，最簡單粗暴的就是清除安全日志。通過監(jiān)測1102事件，可以監(jiān)控安全日志被清除的操作。

03、結(jié)束語

基于AD域控的日志分析，將AD域攻防矩陣圖與安全檢測策略進行對應(yīng)，自建安全檢測策略30+，覆蓋常見的域攻擊手法，并持續(xù)地擴展和優(yōu)化檢測策略，從而保障AD域的安全。

我想，這個探索的過程，最大的收獲莫過于對安全日志的分析和攻擊場景構(gòu)建的深刻理解。文章來源地址http://www.zghlxwxcb.cn/news/detail-803470.html