「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

攻擊 User

進行攻擊／檢測的首要目標是找到高權限的使用者帳號，在 AD 當中如何找到帳號列表，若你有低權限的帳號，可以透過 Windows 內建找到帳號列表，也可以透過 Powershell 確認帳號列表，並尋找目標。

• 指令
  • net user /domain
  • Get-ADUser -Filter * | select SamAccountName
• 帳號
  • Administrator
  • krbtgt
    • NT hash
    • Kerberos key
    • Golden Ticket ATTACK
      • 目的
        • 利用被盜的 KDC key 偽裝而成的 TGT 偽裝成網域管理者
      • 流程
        1. 使用 Mimikatz 搭配 DCSync 竊取 krbtgt hash(KDC key)
        2. 利用 KDC key 建立假使用者跟 PAC 建立 Golden Ticket 並指定網域管理員權限
        3. 攻擊者繞過 KDC 請求 TGT 的初始流程，直接請求服務的 TGS
        4. KDC 信任 Golden Ticket 並利用假的 PAC 建立 TGS
      • 防禦
        • 監控異常行為
          • Kerberos AS 和 TGS 事件
          • 空欄位事件 Windows event
            • 4624
            • 4672
            • 4634
        • 定期更新兩次 krbtgt 密碼
          • 可確保任何票證失效
        • 限制網域管理者許可權的帳號數量
        • 限制網域管理者可登入的伺服器數
        • 將管理許可權委派到自定管理群組
• 使用者帳號 vs 主機帳號
  • 指令
    • Get-ADObject -LDAPFilter "objectClass=User" -Properties SamAccountName | select SamAccountName
  • 主機帳號特性
    • 如 fei$
    • 錢字號結尾
    • 物件
      • OperatingSystem
        • 作業系統資訊
          • os.Platform
          • 版本
          • 平台識別內容
      • OperatingSystemVersion