01、简介

当攻击者获得内网某台域内服务器的权限,就会以此为起始攻击点,尽可能地去收集域的信息,以获取域控权限作为内网的终极目标。例如,攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息,通过定位域管理员以找到最佳攻击路径,从而拿到域管理员权限。

针对域内信息探测的行为,是攻击者入侵的前兆,基于AD Event日志检测攻击者的信息探测行为,就可以预先给安全管理员发出告警,帮助安全管理员找到网络中存在的安全弱点。

02、域内敏感用户组探测

(1)查询域管理员用户

net group "Domain Admins" /domain

(2)日志分析:当用户查询管理员组时,会出现4次4661事件,其中两次4661事件的对象类型是SAM_DOMAIN,另外两次的对象类型是SAM_GROUP。4661事件:记录了域用户test访问了SAM_GROUP组的SID,对应的组名就是 Domain Admins,这个就可以作为关键特征。

(3)检测策略:监测4661事件,找到访问SAM_GROUP组的SID的用户,并关联到事件4624,找到用户对应的登录IP。如下图:用户test通过192.168.28.20 查询了 domain admins域管理员组信息。

检测示例:

02、域内敏感用户信息探测

(1)获取指定域用户的详细信息

net user bypass /domain

(2)日志分析:当用户获取指定域用户的详细信息时,会出现多次4661事件,对象类型是SAM_USER,SID对应的是帐户的SID,通过日志记录可以看到用户test查看了域用户bypass成员的详细信息。

(3)检测策略:监测4661事件,找到访问SAM_USER组的SID的用户,可以进一步关联test的登录IP以及SID对应的用户名。如下图:用户test在192.168.28.20 查看了域管理员bypass用户的详细信息。

检测示例:

04、定位域管理员

(1)使用BloodHound分析域的攻击路径

BloodHound是一款域渗透分析工具,可以使用BloodHound识别高度复杂的域攻击路径,只需要在服务器上运行SharpHound.exe,就可以收集域内信息。

日志分析:在使用SharpHound收集信息过程中,产生多条5145的事件,服务端的特征重点关注访问的相对名称包含srvsvc、wkssvc、winreg、samr等,对应的事件还记录了请求的用户帐户test,源地址:192.168.28.20。

(2)PVEFindADUser

可用于查找用户登录的服务器,为攻击者提供域管理员所在的位置,为下一步攻击提供必要的信息。

日志分析:在使用PVEFindADUser收集信息过程中,产生两条5145的事件,访问的相对名称都是 winreg。

(3)PsLoggedOn

PsLoggedOn可以查看本地登陆的用户和通过本地计算机或远程计算机资源登陆的用户。

日志分析:在使用PsLoggedOn收集信息过程中,产生多条5145的事件,访问的相对名称包括 winreg、lsarpc、srvsvc。

(4)检测策略:监测5145事件,重点关注访问相对名称包含srvsvc,wkssvc,winreg,samr,lsarpc的事件,识别出可能的探测行为。

检测示例:

基于AD Event日志监测域内信息探测行为相关推荐

  1. 基于AD Event日志监测域委派后门

    01.简介 域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动.攻击者在获取到域控权限后,可以利用约束委派或者基于资源的约束委派实现后门,以实现达到维持权限的目的. 基于A ...

  2. 基于AD Event日志识别域用户密码攻击

    01.简介 针对域用户密码攻击,攻击者通常都会使用两种攻击方式进行测试,即:暴力破解(Brute Force)和密码喷洒(Password Spraying). 暴力破解(Brute Force)攻击 ...

  3. 基于AD Event日志识别黄金票据攻击

    01.简介 黄金票据(Golden Ticket)是基于Kerberos认证的一种攻击方式,常用来做域控权限维持.当攻击者获取到域内krbtgt帐户的SID和HASH,就可以随意伪造域内管理员用户,再 ...

  4. 基于AD Event日志检测哈希传递攻击

    01.简介 哈希传递攻击是基于NTLM认证的一种攻击方式,当我们获得某个管理员用户的密码哈希值,就可以利用密码哈希值进行横向渗透. 在域环境中,只有域管理员的哈希值才能进行哈希传递攻击,攻击成功后,可 ...

  5. 基于AD Event日志检测LSASS凭证窃取攻击

    01.简介 简单介绍一下,LSASS(本地安全机构子系统服务)在本地或域中登录Windows时,用户生成的各种凭证将会存储在LSASS进程的内存中,以便用户不必每次访问系统时重新登录. 攻击者在获得起 ...

  6. 基于AD Event日志识别DCSync攻击

    01.简介 DCSync攻击是一种常见的域控攻击方法,利用DCSync导出域内用户的哈希值,本质上就是利用DRS(Directory Replication Service)协议通过 IDL_DRSG ...

  7. 基于AD Event日志实时检测GPO后门

    01.简介 在一些勒索病毒的案例中,我们可以看到这样的案例,攻击者通过域控组策略下发勒索病毒加载脚本,从共享服务器下载并执行勒索病毒样本,从而导致内网大规模范围内的病毒感染事件. 在域控这种中央集权系 ...

  8. 2021-08-31《内网安全攻防》学习笔记,第二章-域内信息收集(转自PowerLiu)

    <内网安全攻防>学习笔记,第二章-域内信息收集 2020-07-212020-07-21 15:08:47阅读 1.1K0 2.1 内网信息搜集概述 当渗透测试人员进入内网后,面对的是一片 ...

  9. 信息收集--域内信息收集

    域内信息收集 一.收集域内基础信息 1.查询域 2.查询此域内所有计算机 3.查询域内所有用户组列表 4.查询所有域成员计算机列表 5.获取域密码信息 6.获取域信任信息 二.查找域控制器 1.查看域 ...

最新文章

  1. SQL SERVER 2014 下IF EXITS 居然引起执行计划变更的案例分享
  2. MM32F3277 MicroPython移植过程中对应的接口文件
  3. 【leetcode】500. Keyboard Row
  4. yum的方式安装mysql_Linux安装mysql之yum安装方式
  5. C语言程序设计之编程求鸡和兔的只数,用穷举法解决
  6. 成都优步uber司机第四组奖励政策
  7. HDU 5145 - NPY and girls
  8. redis sds的申请扩容源码
  9. 处理Windows 7爆音杂音和网游ping值过高
  10. 公司居然使用监听设备,大家来讨论下IT公司应该怎样管理
  11. TurboMail邮件系统提醒广大用户小心DXXD勒索邮件
  12. html中label怎么设置自动换行,label属性换行 VB中label显示怎么换行
  13. TwinCAT 3 基础——安装
  14. ClickHouse的核心特性及架构
  15. 一个很好的看电子书的软件
  16. 基于OpenCV的视频场景切割神器
  17. 豆瓣的robots内容分析
  18. python生成word文档_python实现的生成word文档功能示例
  19. 计算机教师职称申报工作总结,教师职称评定个人工作总结(精选3篇)
  20. Gmap使用说明,通过输入经纬度查询位置

热门文章

  1. 用计算机弹邓紫棋的画,猜歌王携手小天后邓紫棋 掀起劲爆音乐狂潮
  2. [egret+pomelo]实时游戏杂记(2)
  3. PHP - 从零开始编写自己的PHP框架 - 学习/实践
  4. 《网络管理工具实用详解》涉及软件的目录
  5. 流程、流程?流程...
  6. c++,MFC实现拖放目标Drop(以拖放Outlook邮件和普通文件作为示例)
  7. 前端修改服务器cookie,前端中怎样设置cookie
  8. L1L2正则化的选择
  9. 新版本网盘目录系统搭建
  10. 技术写作过程:如何写出好的技术文章