「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」

Active Directory Object Modification

• 針對 AD 物件被修改
• 對應 Windows event
  • 5136: 已修改目錄服務物件

Access Token Manipulation

• 攻擊者修改存取 token
  • 目的: 為了繞過驗證/存取敏感資料
  • 攻擊方式：SID-History injection
• 監控
  • 針對 AD 設定是否被他人改變
    • 這些改變是否會影響他人可存取的內容

SID-History injection

• SID
  • Windows Security Identifiers
  • 每一個帳號都有唯一 SID
  • 常見範例
    1. Windows AD 中使用者登入
    2. 系統從資料庫擷取該使用者的 SID
    3. 並將SID 放在使用者的 Access Tokens
    4. 系統從 Access Tokens 中取得 SID 去識別使用者
       • 何時用到
         • Security Descriptors:識別物件和主要群組的擁有者
         • Access Control Entries:識別允許、拒絕或稽核存取權的信任者
         • Access Tokens: 識別使用者所屬的使用者和群組
• SID-History
  • AD 物件特殊屬性
  • 包含物件前一個取得的 SID 值
    • 通常是從一個 Windows domain 遷移到另外一個 Windows domain 會重新派送 SID
  • SID-History 的存在主要是為了能讓使用者存取之前的 Windows domain
    • 且 ACL (存取控制列表) 登記的是 SID-History
• 惡意利用
  • Mimikatz MISC::AddSid 可以將 SID 或 user /Group 附加到 SID-History
• powershell 指令
  • 識別帳號的 SID-History 屬性中的 SID 值
    • Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory
  • 設定 SID 移除 SID-History 屬性
    • Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
• 緩解
  • 移動帳號之後移除 SID-History 屬性
  • 禁止在 林 trust 使用 SID-History
    • netdom trust /domain: /EnableSIDHistory:no
• 監控
  • 針對 DC 中的帳戶管理事件更改
    • 針對 SID History 進行成功更改與失敗更改事件

參考

• https://learn.microsoft.com/zh-tw/defender-for-identity/security-assessment-unsecure-sid-history-attribute
• https://attack.mitre.org/techniques/T1134/005/