最后的防线！高级域渗透攻击的分析与检测.pptxVIP

最后的防线！高级域渗透攻击的分析与检测 @9ian1i About us • @9ian1i，0KEE Team • Team Blog: https://0/blog/ • 擅长安全自动化设计和开发，关注企业安全防御，代码审计爱好者 • DEFCON 27 @ Blue Team Village 演讲者 • 微博：@9ian1i • Github: @9ian1i Contents • Background on Subject • Architecture • Detections – Abnormal Kerberos Protocol – Sensitive Actions – Logon History – Honeypot Account – Detect Unknown Threat • Achievements • WatchAD • Thanks Background on Subject – AD Security /infosecn1nja/AD-Attack-Defense Background on Subject – Microsoft ATA 收费昂贵，以流量为主进行分析，部分检测没有抓住核心原理，容易被针对绕过，且部 署在域控上对性能有一定影响。 《us-17-Mittal-Evading-MicrosoftATA-for-ActiveDirectory-Domination》by Nikhil Mittal Background on Subject – event log • 安全事件日志详细记录了域内所有用 户的活动，在所有域控的本地安全策 略中开启全部审核选项。 • 安全事件日志适合去分析域渗透攻击 所产生的结果，比如敏感用户组变化、 特权使用、域内敏感配置更改等。 • 优点是难以混淆绕过，可检测维度多。 缺点是信息不够详细，部分攻击有时 无法检测。 Background on Subject – event log • • • • • • • 4624：记录账户登录事件。 4768：申请TGT时触发该日志。 4769：申请ST时触发该日志。 5136：目录服务对象被修改，如ACL、账户对象等。 4728, 4732, 4756：向安全组中添加用户。 4738：用户账户被修改，如添加资源约束委派权限。 4672：特权登录，管理员权限用户登录时 和4624一起触发。 • 4625：登录失败。 Background on Subject – Traffic of Kerberos • Kerberos流量包含所有该协议相关的 细节，在所有域控上部署流量采集终 端收集88端口的流量。 • Kerberos流量适合去分析域渗透攻击 的过程，比如利用协议缺陷的提权、 伪造票据、匹配工具指纹等。 • 优点是可详细分析攻击特征，分析协 议流程。缺点是可被针对绕过，只能 用于Kerberos相关攻击检测，其余攻 击方式需要额外处理。 Background on Subject – Kerberos Protocol Kerberos协议简要流程 对应触发事件日志 Architecture Detections • Abnormal Kerberos Protocol • Honeypot Account – Kerberoast – Honeypot Account Activity – Golden Ticket – Tools Fingerprint • Unknown Threat Detection – Privilege Escalation • Sensitive Actions – Modification of ACL – Privileges Granted – Constrained Delegation Granted • Logon History – NTLM Relay Abnormal Kerberos Protocol Abnormal Kerberos Protocol — Kerberoasting 通过请求某些账户的弱加密(RC4-HMAC)服务票据，本地离线破解密码。 Add-Type -AssemblyName System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList “MSSQLSvc/ 如果运气好，碰到一个弱口令账户，那么管理员权限就直接到手了。 只需要打开PowerShell运行命令，然后导出票据进行本地破解，看似悄无声息，与正 常域内活动很难区分，传统安全设备更是毫无办法。 很多攻击者也是这么认为，但这真