iT邦幫忙

2022 iThome 鐵人賽

1
Security

資安這條路:學習 Active Directory Security系列 第 33

AD Security - [Day33] 一起來學 AD 安全吧!: Active Directory Object Modification(1)- SID-History injection

  • 分享至 

  • xImage
  •  

「打給賀,挖西飛飛,今天你要來點 Active Directory Security 嗎?」

Active Directory Object Modification

  • 針對 AD 物件被修改
  • 對應 Windows event
    • 5136: 已修改目錄服務物件

Access Token Manipulation

  • 攻擊者修改存取 token
    • 目的: 為了繞過驗證/存取敏感資料
    • 攻擊方式:SID-History injection
  • 監控
    • 針對 AD 設定是否被他人改變
      • 這些改變是否會影響他人可存取的內容

SID-History injection

  • SID
    • Windows Security Identifiers
    • 每一個帳號都有唯一 SID
    • 常見範例
      1. Windows AD 中使用者登入
      2. 系統從資料庫擷取該使用者的 SID
      3. 並將SID 放在使用者的 Access Tokens
      4. 系統從 Access Tokens 中取得 SID 去識別使用者
  • SID-History
    • AD 物件特殊屬性
    • 包含物件前一個取得的 SID 值
      • 通常是從一個 Windows domain 遷移到另外一個 Windows domain 會重新派送 SID
    • SID-History 的存在主要是為了能讓使用者存取之前的 Windows domain
      • 且 ACL (存取控制列表) 登記的是 SID-History
  • 惡意利用
    • Mimikatz MISC::AddSid 可以將 SID 或 user /Group 附加到 SID-History
  • powershell 指令
    • 識別帳號的 SID-History 屬性中的 SID 值
      • Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
    • 設定 SID 移除 SID-History 屬性
      • Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
  • 緩解
    • 移動帳號之後移除 SID-History 屬性
    • 禁止在 林 trust 使用 SID-History
      • netdom trust /domain: /EnableSIDHistory:no
  • 監控
    • 針對 DC 中的帳戶管理事件更改
      • 針對 SID History 進行成功更改與失敗更改事件

參考


上一篇
AD Security - [Day32] 一起來學 AD 安全吧!: Active Directory: Active Directory Object Creation、DCShadow 手法
系列文
資安這條路:學習 Active Directory Security33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言