iT邦幫忙

2022 iThome 鐵人賽

DAY 30
0
Security

資安這條路:學習 Active Directory Security系列 第 30

AD Security - [Day30] 一起來學 AD 安全吧!: Active Directory Object Access

  • 分享至 

  • xImage
  •  

「打給賀,挖西飛飛,今天你要來點 Active Directory Security 嗎?」

前言

雖然今天是第三十天,但本系列會繼續寫關於 AD 安全的內容,希望日後有機會可以系統化的將 AD 學習路徑寫出來。

Active Directory Object Access

攻擊手法

  • Group Policy Discovery
    • 對應 ATT&CK ID
      • T1615
    • 針對蒐集與發現階段,可能會收集群組策略的資訊
    • 目的
      • 作為權限提升的路徑
      • 其他網域內的安全應用
    • Group Policy 儲存於
      • \\SYSVOL\\Policies\
    • 如何收集
      - gpresult /r
      - gpupdate /force
      - 強制更新群組策略
      - Get-DomainGPO
      - Get-DomainGPOLocalGroup
      - 偵測
      • 確認 eventID 4661 是否有特殊時間被存取
      • 監控指令
      • 監控 LDAP 查詢指令
        • LDAP 流量
        • groupPolicyContainer
          - OS Credential Dumping
    • 對應 ATT&CK ID
      • T1003
    • 說明
      • 攻擊者下載使用者帳號與密碼/憑證
    • 防護
      • 利用 ACL 管理「複寫目錄變更(Replicating Directory Changes)」許可權的控制列表與權限
      • 將使用者加入 Protected Users 的 Group
    • 常用工具
      • Mimikatz
    • 子技術
      • T1003.006 DCSync
        • 工具: Mimikatz lsadump
  • System Owner/User Discovery
    • 對應 ATT&CK ID
      • T1033
    • 說明
      • 攻擊者會確認目前使用者、重要的使用者,而使用者的資訊可能會在系統的執行緒、文件/資料夾、Session、系統 log
    • 可透過環境變數取得使用者

參考資料


上一篇
AD Security - [Day29] 一起來學 AD 安全吧!: 整理 Credential Request 相關手法與該監控的 Event ID
下一篇
AD Security - [Day31] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Deletion
系列文
資安這條路:學習 Active Directory Security33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言