「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

Active Directory: Active Directory Object Deletion

• 刪除 AD 相關的物件
• Windows EvertID 5141
  • 已刪除目錄服務物件
  • 每次刪除 AD 物件會產生此事件
• 攻擊手法
  • Domain Policy Modification

Domain Policy Modification

• 對應 ATT&CK ID: T1484
• 目的：攻擊為了要提升自己在網域機器內的權限或是要逃避防禦，而去修改網域的設定
• 手法：
  • 修改 GPO 讓惡意的 Task/Job 推派到網域環境
  • 修改 Trust 關係，讓攻擊者可以任意存取其他網域資料
• 偵測
  • 利用工具 BloodHound確認 AD 環境確認 GPO 修改權限
• 監控
  • Event 5137
    • 已建立目錄服務物件
  • Event 5141
    • 已刪除目錄服務物件

Group Policy Modification

• GPO 儲存在<DOMAIN>\SYSVOL\<DOMAIN>\Policies\
• 常見惡意行為
  • 計畫任務作業
  • 禁止或修改工具
  • 執行惡意服務
  • 下載檔案

Domain Trust Modification

• 攻擊者會新增新的網域信任/修改信任屬型
• 常見應用
  • 偽造 SAML token
  • 新增憑證證書
• 防禦
  • 最小權限保護網域信任

參考來源

• https://attack.mitre.org/techniques/T1484/001/