AD域安全攻防實踐（附攻防矩陣圖）

以域控為基礎架構，透過域控實現對使用者和計算機資源的統一管理，帶來便利的同時也成為了最受攻擊者重點攻擊的集權系統。

01、攻擊篇

針對域控的攻擊技術，在Windows通用攻擊技術的基礎上自成一套技術體系，將AD域攻防分為資訊收集、許可權提升、憑證竊取、橫向移動、許可權維持等攻擊階段，把域環境下眾多且繁雜的攻擊行為對映到ATT&CK，梳理成一個AD域攻防矩陣圖。

（1）域內資訊收集

當攻擊者獲得內網某臺域內伺服器的許可權，就會以此為起始攻擊點，儘可能地去收集域的資訊，例如：攻擊者會先在進行本機資訊收集，找到域控伺服器地址，收集域內使用者和管理員的資訊列表，使用BloodHound、PVEFindADUser、PsLoggedOn等工具進一步定位域管理員，以找到域控的最佳攻擊路徑。

（2）域內許可權提升

攻擊者在內網橫向過程中，可以透過入侵域管理員所登入的伺服器，利用漏洞獲取伺服器system許可權，找到域管理的賬號、程式或是身份驗證令牌，從而獲取域管理員許可權。

在域控伺服器未及時更新補丁的情況下，攻擊者可以透過域內許可權提升漏洞直接攻擊域控，將域內普通使用者許可權提升至域管許可權。如MS14-068、NetLogon特權提升漏洞（CVE-2020-1472）、CVE-2021-42278 & CVE-2021-42287、CVE-2022-26963、CVE-2021-1675等，一旦被攻擊者利用成功，可直接獲得域管理員許可權。

（3）域內憑證獲取

攻擊者在沒有域使用者憑據時，往往會使用暴力破解、密碼噴灑等手段進行域使用者憑證的獲取。

攻擊者在獲得伺服器許可權後，可以透過LSASS竊取憑證、DCSync、ntds.dit檔案提取等方式收集目標主機上的相關憑證，以便透過使用者憑證進行橫向移動。

（4）域內橫向移動

攻擊者透過收集域內使用者的憑證資訊在內網中橫向移動，不斷地擴大資產範圍，並不斷地重複資訊收集的步驟，直至攻擊者獲得關鍵目標。

橫向移動攻擊手法包括：IPC連線、At/Schtasks計劃任務、PsExec、WMI、WMIRM、雜湊傳遞攻擊（Pass the hash）、票據傳遞攻擊（Pass the ticket）、金鑰傳遞攻擊（Pass the key）等。

（5）域內許可權維持

當攻擊者在獲取域控許可權後，會透過一定的持久化操作以維持域管許可權，從而達到長期控制域控的目的。

域內許可權維持的手法包括黃金票據、白銀票據、Skeleton Key（萬能密碼）、DSRM域後門、注入SSP、SID History後門、AdminSDHolder、GPO組策略後門、DCShadow、約束委派、基於資源的約束委派 、基於ACL的後門等。

02、防護篇

針對AD域安全防護產品，商業的如Microsoft Defender for Identity、Tenable.ad、ITDR-AD，開源的WatchAD，都是可以選擇的方向。面對眾多的AD域攻擊行為，我們也可以選擇自建檢測策略，透過分析AD域控的日誌，對攻擊行為進行實時檢測。

將AD域日誌引入日誌分析平臺，透過模擬域攻擊行為產生攻擊事件，以攻擊日誌提取關鍵特徵，構建安全規則，形成檢測策略。

自建檢測策略很難全部覆蓋，這很大程度上就取決於自身對AD域攻防的理解。為此我們需要把精力投入到那些攻擊者最常用的域攻擊技術上，比如BloodHound資訊收集、域管賬號建立、LSASS憑證竊取、雜湊傳遞攻擊、黃金票據攻擊等。

（1）資訊收集

攻擊者在收集一定資訊後，透過BloodHound定位域管理員以找到最佳攻擊路徑。透過監測5145事件，可識別到可疑的Sharphound域資訊探測行為。

（2）許可權提升

攻擊者會透過各種方式來獲取域控許可權，最直接的方式就是新增一個域管理員賬號。透過監測4728事件，關注敏感使用者組特權賬號新增情況。

（3）憑證獲取

竊取憑證最常用的一種方式就是使用mimikatz獲取LSASS記憶體中儲存的使用者憑證。透過監測4663事件，從而發現嘗試LSASS程式竊取憑證的操作。

（4）橫向移動

在內網橫向過程中，雜湊傳遞攻擊是最常用的手法，但因為和正常的訪問行為非常類似，檢測是比較困難的。透過監測4624事件，設定白名單機制，從正常的訪問行為中，找出異常登入行為。

（5）許可權維持

攻擊者常用黃金票據來做域控許可權維持，利用krbtgt的hash來偽造TGT，就可以隨意偽造域內管理員使用者。透過監測4624事件，利用帳戶與SID的對應關係，可以找到偽造的使用者，從而識別可疑的黃金票據攻擊。

（6）痕跡清除

為避免入侵行為被發現，攻擊者總是會透過各種方式來清除痕跡，最簡單粗暴的就是清除安全日誌。透過監測1102事件，可以監控安全日誌被清除的操作。

03、結束語

基於AD域控的日誌分析，將AD域攻防矩陣圖與安全檢測策略進行對應，自建安全檢測策略30+，覆蓋常見的域攻擊手法，並持續地擴充套件和最佳化檢測策略，從而保障AD域的安全。

我想，這個探索的過程，最大的收穫莫過於對安全日誌的分析和攻擊場景構建的深刻理解。