以域控為基礎(chǔ)架構(gòu)，通過(guò)域控實(shí)現(xiàn)對(duì)用戶和計(jì)算機(jī)資源的統(tǒng)一管理，帶來(lái)便利的同時(shí)也成為了最受攻擊者重點(diǎn)攻擊的集權(quán)系統(tǒng)。

01、攻擊篇

針對(duì)域控的攻擊技術(shù)，在Windows通用攻擊技術(shù)的基礎(chǔ)上自成一套技術(shù)體系，將AD域攻防分為信息收集、權(quán)限提升、憑證竊取、橫向移動(dòng)、權(quán)限維持等攻擊階段，把域環(huán)境下眾多且繁雜的攻擊行為映射到ATT&CK，梳理成一個(gè)AD域攻防矩陣圖。

（1）域內(nèi)信息收集

當(dāng)攻擊者獲得內(nèi)網(wǎng)某臺(tái)域內(nèi)服務(wù)器的權(quán)限，就會(huì)以此為起始攻擊點(diǎn)，盡可能地去收集域的信息，例如：攻擊者會(huì)先在進(jìn)行本機(jī)信息收集，找到域控服務(wù)器地址，收集域內(nèi)用戶和管理員的信息列表，使用BloodHound、PVEFindADUser、PsLoggedOn等工具進(jìn)一步定位域管理員，以找到域控的最佳攻擊路徑。

（2）域內(nèi)權(quán)限提升

攻擊者在內(nèi)網(wǎng)橫向過(guò)程中，可以通過(guò)入侵域管理員所登錄的服務(wù)器，利用漏洞獲取服務(wù)器system權(quán)限，找到域管理的賬號(hào)、進(jìn)程或是身份驗(yàn)證令牌，從而獲取域管理員權(quán)限。

在域控服務(wù)器未及時(shí)更新補(bǔ)丁的情況下，攻擊者可以通過(guò)域內(nèi)權(quán)限提升漏洞直接攻擊域控，將域內(nèi)普通用戶權(quán)限提升至域管權(quán)限。如MS14-068、NetLogon特權(quán)提升漏洞（CVE-2020-1472）、CVE-2021-42278 & CVE-2021-42287、CVE-2022-26963、CVE-2021-1675等，一旦被攻擊者利用成功，可直接獲得域管理員權(quán)限。

（3）域內(nèi)憑證獲取

攻擊者在沒(méi)有域用戶憑據(jù)時(shí)，往往會(huì)使用暴力破解、密碼噴灑等手段進(jìn)行域用戶憑證的獲取。

攻擊者在獲得服務(wù)器權(quán)限后，可以通過(guò)LSASS竊取憑證、DCSync、ntds.dit文件提取等方式收集目標(biāo)主機(jī)上的相關(guān)憑證，以便通過(guò)用戶憑證進(jìn)行橫向移動(dòng)。

（4）域內(nèi)橫向移動(dòng)

攻擊者通過(guò)收集域內(nèi)用戶的憑證信息在內(nèi)網(wǎng)中橫向移動(dòng)，不斷地?cái)U(kuò)大資產(chǎn)范圍，并不斷地重復(fù)信息收集的步驟，直至攻擊者獲得關(guān)鍵目標(biāo)。

橫向移動(dòng)攻擊手法包括：IPC連接、At/Schtasks計(jì)劃任務(wù)、PsExec、WMI、WMIRM、哈希傳遞攻擊（Pass the hash）、票據(jù)傳遞攻擊（Pass the ticket）、密鑰傳遞攻擊（Pass the key）等。

（5）域內(nèi)權(quán)限維持

當(dāng)攻擊者在獲取域控權(quán)限后，會(huì)通過(guò)一定的持久化操作以維持域管權(quán)限，從而達(dá)到長(zhǎng)期控制域控的目的。

域內(nèi)權(quán)限維持的手法包括黃金票據(jù)、白銀票據(jù)、Skeleton Key（萬(wàn)能密碼）、DSRM域后門、注入SSP、SID History后門、AdminSDHolder、GPO組策略后門、DCShadow、約束委派、基于資源的約束委派 、基于ACL的后門等。

02、防護(hù)篇

針對(duì)AD域安全防護(hù)產(chǎn)品，商業(yè)的如Microsoft Defender for Identity、Tenable.ad、ITDR-AD，開(kāi)源的WatchAD，都是可以選擇的方向。面對(duì)眾多的AD域攻擊行為，我們也可以選擇自建檢測(cè)策略，通過(guò)分析AD域控的日志，對(duì)攻擊行為進(jìn)行實(shí)時(shí)檢測(cè)。

將AD域日志引入日志分析平臺(tái)，通過(guò)模擬域攻擊行為產(chǎn)生攻擊事件，以攻擊日志提取關(guān)鍵特征，構(gòu)建安全規(guī)則，形成檢測(cè)策略。

自建檢測(cè)策略很難全部覆蓋，這很大程度上就取決于自身對(duì)AD域攻防的理解。為此我們需要把精力投入到那些攻擊者最常用的域攻擊技術(shù)上，比如BloodHound信息收集、域管賬號(hào)創(chuàng)建、LSASS憑證竊取、哈希傳遞攻擊、黃金票據(jù)攻擊等。

（1）信息收集

攻擊者在收集一定信息后，通過(guò)BloodHound定位域管理員以找到最佳攻擊路徑。通過(guò)監(jiān)測(cè)5145事件，可識(shí)別到可疑的Sharphound域信息探測(cè)行為。

（2）權(quán)限提升

攻擊者會(huì)通過(guò)各種方式來(lái)獲取域控權(quán)限，最直接的方式就是添加一個(gè)域管理員賬號(hào)。通過(guò)監(jiān)測(cè)4728事件，關(guān)注敏感用戶組特權(quán)賬號(hào)添加情況。

（3）憑證獲取

竊取憑證最常用的一種方式就是使用mimikatz獲取LSASS內(nèi)存中保存的用戶憑證。通過(guò)監(jiān)測(cè)4663事件，從而發(fā)現(xiàn)嘗試LSASS進(jìn)程竊取憑證的操作。

（4）橫向移動(dòng)

在內(nèi)網(wǎng)橫向過(guò)程中，哈希傳遞攻擊是最常用的手法，但因?yàn)楹驼５脑L問(wèn)行為非常類似，檢測(cè)是比較困難的。通過(guò)監(jiān)測(cè)4624事件，設(shè)置白名單機(jī)制，從正常的訪問(wèn)行為中，找出異常登錄行為。

（5）權(quán)限維持

攻擊者常用黃金票據(jù)來(lái)做域控權(quán)限維持，利用krbtgt的hash來(lái)偽造TGT，就可以隨意偽造域內(nèi)管理員用戶。通過(guò)監(jiān)測(cè)4624事件，利用帳戶與SID的對(duì)應(yīng)關(guān)系，可以找到偽造的用戶，從而識(shí)別可疑的黃金票據(jù)攻擊。

（6）痕跡清除

為避免入侵行為被發(fā)現(xiàn)，攻擊者總是會(huì)通過(guò)各種方式來(lái)清除痕跡，最簡(jiǎn)單粗暴的就是清除安全日志。通過(guò)監(jiān)測(cè)1102事件，可以監(jiān)控安全日志被清除的操作。

03、結(jié)束語(yǔ)

基于AD域控的日志分析，將AD域攻防矩陣圖與安全檢測(cè)策略進(jìn)行對(duì)應(yīng)，自建安全檢測(cè)策略30+，覆蓋常見(jiàn)的域攻擊手法，并持續(xù)地?cái)U(kuò)展和優(yōu)化檢測(cè)策略，從而保障AD域的安全。

我想，這個(gè)探索的過(guò)程，最大的收獲莫過(guò)于對(duì)安全日志的分析和攻擊場(chǎng)景構(gòu)建的深刻理解。