「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

何謂攻擊路徑

常見的 AD 攻擊，可能是因為一系列的設定錯誤，導致駭客可以多種利用，進而達到取得 AD 權限，當取得 AD 幾乎可以控制整個企業網路。

為什麼 AD 常常被攻擊

因為不好防守，可以由前面的文章知道，其實 AD 有很多可以設定的內容，包含群組原則、使用者管理、權限控管，只要網管人員沒有設定好，都有機會成為駭客的利用鏈。

網管人員的挑戰

• 如何正確設定群組原則
• 如何管理好 GPO

AD 攻擊的流程

1. 偵查：針對目標系統收集資，竊取有價值的內容。
   • 被動偵查：利用 OSINT 公開資訊情蒐，蒐集網路上的員工編號、員工職位、員工動態，有機會從社交媒體中發現員工姓名、甚至企內部所使用的軟體與系統
   • 主動偵查：針對企業公開的網站如官方網站，進行主動掃描，了解該網站開啟的 port ，目標是希望了解企業的網路架構，是否有防火牆或其他防禦軟體 IDS/IPS 、作業系統、其他的服務版本。
2. 規劃：在紅隊演練中，從第一階段的偵測，可以取的一定的企業資訊，並從第二階段規劃攻擊方可以利用哪一個入口點進行滲透。
   • 已知漏洞：利用 CVE + 攻擊 POC 確認是否漏洞點存在
   • 0 day漏洞：尚未被廠商知道的漏洞無更新程式，若在紅隊演練過程中，因為沒有找到入口點，可能會請研究團隊，針對該企業內部的系統或設備去找到漏洞，再加以利用。
3. 入侵：規劃完後，開始進行攻擊與破壞，試圖找到可以進入企業內部的第一個點。
   • 爆破帳號密碼
   • 釣魚信件
   • 未修補的已知漏洞
   • 設定錯誤的資訊
4. 橫向移動/權限提升：進入企業點之後，確認整體企業內部的架構，包含了解企業內部有多少台伺服器以及內網掃描，為了找到紅隊演練中訂下的目標。
   • 為什麼要橫向移動：紅隊演練在事前會跟企業確認哪一些是關鍵敏感資料或是哪個標的是目標內容，橫向移動的目的在於找到一條可以達到取的敏感資料的路，因為企業內部不只一台電腦。
   • 為什麼要權限提升：有一些機器若沒有取得管理員帳號，可能無法擔任跳板到其他機器，利用設定錯誤有機會從一般的使用者升級到管理員，甚至是域的管理員，取得最高權限，以利找到紅隊演練的目標。
5. 影響與清除：許多惡意攻擊者，取得資料之後，會進行勒索加密，以及掩蓋自己的蹤跡，刪除應用程式、資料夾、使用者，甚至還會清除、修改、損毀日誌檔案，導致資安鑑識人員無法查看。