「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

前言

雖然今天是第三十天，但本系列會繼續寫關於 AD 安全的內容，希望日後有機會可以系統化的將 AD 學習路徑寫出來。

Active Directory Object Access

• Active Directory 物件
• 安全性帳戶管理員 (SAM) 物件
• 常見 eventID 4661

攻擊手法

• Group Policy Discovery
  • 對應 ATT&CK ID
    • T1615
  • 針對蒐集與發現階段，可能會收集群組策略的資訊
  • 目的
    • 作為權限提升的路徑
    • 其他網域內的安全應用
  • Group Policy　儲存於
    • \\SYSVOL\\Policies\
  • 如何收集
    -　gpresult　/r
    -　gpupdate /force
    - 強制更新群組策略
    -　Get-DomainGPO
    -　Get-DomainGPOLocalGroup
    -　偵測
    • 確認 eventID 4661 是否有特殊時間被存取
    • 監控指令
    • 監控 LDAP 查詢指令
      • LDAP 流量
      • groupPolicyContainer
        -　OS Credential Dumping
  • 對應 ATT&CK ID
    • T1003
  • 說明
    • 攻擊者下載使用者帳號與密碼/憑證
  • 防護
    • 利用 ACL 管理「複寫目錄變更(Replicating Directory Changes)」許可權的控制列表與權限
    • 將使用者加入 Protected Users 的 Group
  • 常用工具
    • Mimikatz
  • 子技術
    • T1003.006 DCSync
      • 工具: Mimikatz lsadump
• System Owner/User Discovery
  • 對應 ATT&CK ID
    • T1033
  • 說明
    • 攻擊者會確認目前使用者、重要的使用者，而使用者的資訊可能會在系統的執行緒、文件/資料夾、Session、系統 log
  • 可透過環境變數取得使用者

參考資料

• https://attack.mitre.org/techniques/T1615/
• https://attack.mitre.org/techniques/T1003/006
• https://attack.mitre.org/techniques/T1033/