偷偷做久久久久网站,久久久久久亚洲精品不卡,亚洲精品偷拍的自拍的,无码毛片内射白浆视频,国产精品小说

Internet Develppment
互聯(lián)網(wǎng)開(kāi)發(fā)& 推廣服務(wù)提供商

我們擅長(cháng)商業(yè)策略與用戶(hù)體驗的完美結合。

歡迎瀏覽我們的案例。

首頁(yè) > 新聞中心 > 新聞動(dòng)態(tài) > 正文

無(wú)需登錄域控服務(wù)器也能抓 HASH 的方法

發(fā)布時(shí)間:2022-03-15 08:43:07來(lái)源:信安之路

  Active Directory 幫助 IT 團隊在整個(gè)網(wǎng)絡(luò )中集中管理系統、用戶(hù)、策略等。因為它是組織不可分割的一部分,所以這給攻擊者提供了機會(huì ),利用 Active Directory 的功能來(lái)做一些惡意的操作。在這篇文章中,我們可以了解到 DCSync 的原理及檢測方法。

  關(guān)于 Active Directory 復制
  
  域控制器 (DC) 是 Active Directory (AD) 環(huán)境的核心。企業(yè)通常有多個(gè)域控制器作為 Active Directory 的備份,或者在每個(gè)區域都有不同的域控制器,方便本地身份驗證和策略下發(fā)。
  
  由于組織中有多個(gè)域控制器,所以每一次域內配置的更改,都要同步到其他域控制器。此更改需通過(guò) Microsoft 目錄復制服務(wù)遠程協(xié)議 (MS-DRSR)與每個(gè)域控制器同步. AD 使用多個(gè)計數器和表來(lái)確保每個(gè) DC 都具有全部屬性和對象的最新信息,并防止任何無(wú)休止的循環(huán)復制。
  
  AD 使用命名上下文 (NC)(也稱(chēng)為目錄分區)來(lái)分段復制。每個(gè)域林至少有三個(gè) NC:域 NC、配置 NC 和模式 NC。AD 還支持特殊的 NC,通常稱(chēng)為應用程序分區或非域命名上下文 (NDNC)。DNS 使用 NDNC(例如,DomainDnsZones、ForestDnsZones)。每個(gè) NC 或 NDNC 都相互獨立地復制。
  
  關(guān)于 DCSync 攻擊
  
  DCSync 是一種用于從域控制器中提取憑據的技術(shù)。在此我們模擬域控制器并利用 (MS-DRSR) 協(xié)議并使用 GetNCChanges 函數請求復制。作為對此的響應,域控制器將返回包含密碼哈希的復制數據。Benjamin Delpy 以及 Vincent Le Toux 于 2015 年 8 月在 Mimikatz 工具中添加了這項技術(shù)。
  
  要執行 DCSync 攻擊,我們需要對域對象具有以下權限:
  
  1)復制目錄更改(DS-Replication-Get-Changes)
  
  2)全部復制目錄更改 ( DS-Replication-Get-Changes-All )
  
  3)在過(guò)濾集中復制目錄更改(DS-Replication-Get-Changes-In-Filtered-Set)(不一定用,但是為了以防萬(wàn)一將其開(kāi)啟)
  
  通常管理員、域管理員或企業(yè)管理員以及域控制器計算機賬戶(hù)的成員默認具有上述權限:
  DCSync 攻擊場(chǎng)景
  
  我們將在這篇博文中查看 2 個(gè)場(chǎng)景(注意:您可以想到執行 DCSync 攻擊的更多場(chǎng)景):
  
  1)假設我們已經(jīng)有了一個(gè)域管理員的賬號權限
  
  2)假設我們擁有對域有 WriteDACL 權限的用戶(hù)憑據
  
  1) 第一個(gè)場(chǎng)景
  
  假設我們已經(jīng)獲得了屬于 Domain Admins 組成員的用戶(hù)賬戶(hù)。在我們的實(shí)驗室中,我們有一個(gè)名為 storagesvc 的用戶(hù),它是 Domain Admins 組的成員,如下面的屏幕截圖所示。
  所以我們現在可以使用 Invoke-Mimikatz PowerShell 腳本執行 OverPass-The-Hash 攻擊,并使用 storagesvc 用戶(hù)的權限啟動(dòng)一個(gè)新的 PowerShell 控制臺:
  在 New PowerShell 控制臺中,我們可以加載 Invoke-Mimikatz PowerShell 腳本并執行 DCSync 攻擊:
  正如我們在上面的屏幕截圖中看到的,我們能夠成功執行 DCSync 攻擊并檢索 KRBTGT 賬戶(hù)哈希。
  
  2) 第二個(gè)場(chǎng)景
  
  假設我們已經(jīng)找到了對域對象具有 WriteDACL 權限的用戶(hù)的明文憑據。在我們的實(shí)驗室中,我們有一個(gè)名為 sharepointmaster 的用戶(hù),他對域對象具有 WriteDACL 權限,如下面的屏幕截圖所示。
  我們將利用 PowerView 腳本將 DCSync 權限授予我們擁有的另一個(gè)用戶(hù)(對手)。
  
  注意:- 我們也可以將 DCSync 權限授予 sharepointmaster 用戶(hù)。
  
  我們將枚舉并確認對手用戶(hù)是否具有 DCSync 權限。
  正如我們在上面的屏幕截圖中看到的那樣,我們能夠成功地將 DCSync 權限授予對手用戶(hù)。
  
  現在,我們將加載 Invoke-Mimikatz PowerShell 腳本并執行 DCSync 攻擊:
  正如我們在上面的屏幕截圖中看到的,我們能夠成功執行 DCSync 攻擊并檢索 KRBTGT 賬戶(hù)哈希。注意:還有其他工具也可以執行 DCSync 攻擊,例如 Impacket Library & DSInternals 等。
  
  檢測
  
  為了檢測 OverPass-The-Hash 攻擊、基于 ACL 的攻擊和 DCSync 攻擊,我們需要在模擬攻擊之前在域控制器上啟用少量日志。在我們的實(shí)驗中,我們已經(jīng)啟用了這些日志。但是您可以按照下面提到的步驟在您的環(huán)境中啟用日志。
  
  我們還在實(shí)驗室中部署了 Sysmon 以進(jìn)行額外的日志記錄。您還可以在您的環(huán)境中使用 Sysmon 模塊化配置部署:
  
  要捕獲登錄事件,我們需要啟用“審核登錄”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審核策略配置 --> 審核策略 --> 登錄/注銷(xiāo) --> 審核登錄
  
  選擇“配置以下審計事件:”復選框
  
  選擇成功和失敗復選框
  
  要捕獲目錄服務(wù)訪(fǎng)問(wèn)事件,我們需要啟用“審核目錄服務(wù)訪(fǎng)問(wèn)”日志。按照以下步驟啟用日志:
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審計策略配置 --> 審計策略 --> DS 訪(fǎng)問(wèn) --> 審計目錄服務(wù)訪(fǎng)問(wèn)
  
  選擇“配置以下審計事件:”、“成功”和“失敗”復選框
  
  要捕獲目錄服務(wù)更改事件,我們需要啟用“審核目錄服務(wù)更改”日志。按照以下步驟啟用日志。
  
  登錄域控制器
  
  打開(kāi)組策略管理控制臺
  
  展開(kāi)域對象
  
  展開(kāi)組策略對象
  
  右鍵單擊默認域策略并單擊編輯(應用于所有域計算機的策略。它可能在您的環(huán)境中有所不同)
  
  按照以下路徑啟用審核登錄事件: 計算機配置 --> Windows 設置 --> 安全設置 --> 高級審核策略配置 --> 審核策略 --> DS 訪(fǎng)問(wèn) --> 審核目錄服務(wù)更改
  
  選擇“配置以下審計事件:”、“成功”和“失敗”復選框
  
  在我們的實(shí)驗室中,我們使用HELK設置來(lái)解析和查詢(xún)日志,并使用winlogbeat將日志從各個(gè)系統推送到HELK實(shí)例。
  
  檢測 OverPass-The-Hash
  
  現在讓我們運行以下查詢(xún)來(lái)檢測在執行 OverPass-The-Hash 攻擊時(shí)生成的登錄事件。
  
  event_id :4624
  
  logon_type :9
  
  logon_process_name :seclogo
  
  在上述查詢(xún)中,我們可以搜索包含 logon_type 9 和 logon_process_name seclogo 的事件 ID 4624 日志。
  
  事件 ID 4624 - 創(chuàng )建登錄會(huì )話(huà)時(shí)生成此事件。
  
  登錄類(lèi)型 9 - 調用者克隆了其當前令牌并為出站連接指定了新憑據。新的登錄會(huì )話(huà)具有相同的本地身份,但對其他網(wǎng)絡(luò )連接使用不同的憑據。當我們執行 OverPass-The-Hash 攻擊時(shí),登錄類(lèi)型為 9。
  
  登錄進(jìn)程 - 用于登錄的可信登錄進(jìn)程的名稱(chēng)。當我們執行 OverPass-The-Hash 攻擊時(shí),一個(gè)名為“seclogo”的登錄進(jìn)程。
  在執行 OverPass-The-Hash 攻擊時(shí),Mimikatz 嘗試訪(fǎng)問(wèn) LSASS 進(jìn)程。運行以下查詢(xún)以檢測是否以某些特權訪(fǎng)問(wèn) LSASS 進(jìn)程,這些特權在機器上運行 Mimikatz 以提取憑據或執行 OverPass-The-Hash 攻擊時(shí)很常見(jiàn)。
  
  host_name :“oil-attacker.oil.crude.corp”
  
  event_id :10
  
  process_granted_access_orig :(“ 0x1010”或“0x1038” )
  
  在上述查詢(xún)中,我們在“oil-attacker”機器上搜索事件 ID 10 日志,該機器已授予對 LSASS 進(jìn)程的特定訪(fǎng)問(wèn)權限。我們可以在這里查找特定進(jìn)程的訪(fǎng)問(wèn)權限:
  
  這種攻擊也可以通過(guò) ATA 檢測為“異常協(xié)議實(shí)現”
  
  檢測 DCSync
  
  我們可以運行以下查詢(xún)來(lái)確定是否執行了 DCSync 攻擊。
  
  event_id : 4662
  
  log_name : "Security"
  
  object_properties : ( "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2"或"1131f6ad-9c07-11d1-f79f-00c04fc2dcd2"或"89e95b76-444d-4c62-9901a ) -
  
  上述查詢(xún)中提到的 GUID 是執行 DCSync 攻擊所需的 Replication 權限的 GUID。
  
  我們還可以利用網(wǎng)絡(luò )流量來(lái)檢測 DCSync 攻擊。需要在域控制器上安裝一個(gè)工具 DCSYNCMonitor 來(lái)監控網(wǎng)絡(luò )流量:
  
  當通過(guò)網(wǎng)絡(luò )執行任何復制時(shí),此工具會(huì )觸發(fā)警報。當真正的域控制器請求復制時(shí),這可能會(huì )觸發(fā)誤報警報。因此,建議使用 DCSYNCMonitor 工具和配置文件,我們在其中指定網(wǎng)絡(luò )中域控制器的 IP 地址,以避免誤報警報。
  
  我們可以運行以下查詢(xún)來(lái)識別由 DCSYNCMonitor 工具觸發(fā)的警報:
  
  event_id :1
  
  source_name :“DCSYNCALERT”
  
  在上面的屏幕截圖中,我們可以看到 IP: 172.16.1.2 地址的誤報警報,因為它是真實(shí)的域控制器。這是為了在使用 DCSYNCMonitor工具時(shí)突出配置文件的重要性。
  
  這種攻擊也可以通過(guò) ATA 檢測為“目錄服務(wù)的惡意復制”。
  
  檢測 ACL 修改
  
  我們可以運行以下查詢(xún)來(lái)識別我們授予對手用戶(hù) DCSync 權限的 ACL 修改。
  
  event_id :5136
  
  log_name :“Security”
  
  dsobject_class :“domainDNS”
  
  修改 ACL 時(shí)會(huì )生成多個(gè)事件。
  
  事件日志計數將始終為偶數,因為單個(gè) ACL 修改始終有 2 個(gè)事件。同樣可以通過(guò)使用“相關(guān) ID”過(guò)濾來(lái)驗證。一個(gè)事件是“Value Deleted”(ACL 刪除/刪除),第二個(gè)事件是“Value Added”(ACL 添加/修改)。
  
  我們還可以使用 PowerShell 命令:“ConvertFrom-SddlString”轉換“nTSecurityDescriptor”值,以獲取有關(guān)所做更改的更多詳細信息。
  
  注意:- 此命令無(wú)法檢索 DCSync 權限的值,我們將始終將值視為“WriteAttributes”,我們需要從加入域的機器上運行此命令。
  
  建議
  
  建議定期審核有風(fēng)險的基于 ACL 的錯誤配置,因為這可能會(huì )導致整個(gè)域環(huán)境受到損害。
 ?。?a href="http://www.wxlp666.cn/wechat/">邯鄲微信托管)

最新資訊
? 2018 河北碼上網(wǎng)絡(luò )科技有限公司 版權所有 冀ICP備18021892號-1   
? 2018 河北碼上科技有限公司 版權所有.
偷偷做久久久久网站,久久久久久亚洲精品不卡,亚洲精品偷拍的自拍的,无码毛片内射白浆视频,国产精品小说