AD域安全攻防實踐（附攻防矩陣圖）

以域控為基礎架構，通過域控實現對用戶和計算機資源的統一管理，帶來便利的同時也成為了最受攻擊者重點攻擊的集權系統。

01、攻擊篇

針對域控的攻擊技術，在Windows通用攻擊技術的基礎上自成一套技術體系，將AD域攻防分為信息收集、權限提升、憑證竊取、橫向移動、權限維持等攻擊階段，把域環境下眾多且繁雜的攻擊行為映射到ATT&CK，梳理成一個AD域攻防矩陣圖。

（1）域內信息收集

當攻擊者獲得內網某臺域內服務器的權限，就會以此為起始攻擊點，盡可能地去收集域的信息，例如：攻擊者會先在進行本機信息收集，找到域控服務器地址，收集域內用戶和管理員的信息列表，使用BloodHound、PVEFindADUser、PsLoggedOn等工具進一步定位域管理員，以找到域控的最佳攻擊路徑。

（2）域內權限提升

攻擊者在內網橫向過程中，可以通過入侵域管理員所登錄的服務器，利用漏洞獲取服務器system權限，找到域管理的賬號、進程或是身份驗證令牌，從而獲取域管理員權限。

在域控服務器未及時更新補丁的情況下，攻擊者可以通過域內權限提升漏洞直接攻擊域控，將域內普通用戶權限提升至域管權限。如MS14-068、NetLogon特權提升漏洞（CVE-2020-1472）、CVE-2021-42278 & CVE-2021-42287、CVE-2022-26963、CVE-2021-1675等，一旦被攻擊者利用成功，可直接獲得域管理員權限。

（3）域內憑證獲取

攻擊者在沒有域用戶憑據時，往往會使用暴力破解、密碼噴灑等手段進行域用戶憑證的獲取。

攻擊者在獲得服務器權限后，可以通過LSASS竊取憑證、DCSync、ntds.dit文件提取等方式收集目標主機上的相關憑證，以便通過用戶憑證進行橫向移動。

（4）域內橫向移動

攻擊者通過收集域內用戶的憑證信息在內網中橫向移動，不斷地擴大資產范圍，并不斷地重復信息收集的步驟，直至攻擊者獲得關鍵目標。

橫向移動攻擊手法包括：IPC連接、At/Schtasks計劃任務、PsExec、WMI、WMIRM、哈希傳遞攻擊（Pass the hash）、票據傳遞攻擊（Pass the ticket）、密鑰傳遞攻擊（Pass the key）等。

（5）域內權限維持

當攻擊者在獲取域控權限后，會通過一定的持久化操作以維持域管權限，從而達到長期控制域控的目的。

域內權限維持的手法包括黃金票據、白銀票據、Skeleton Key（萬能密碼）、DSRM域后門、注入SSP、SID History后門、AdminSDHolder、GPO組策略后門、DCShadow、約束委派、基于資源的約束委派 、基于ACL的后門等。

02、防護篇

針對AD域安全防護產品，商業的如Microsoft Defender for Identity、Tenable.ad、ITDR-AD，開源的WatchAD，都是可以選擇的方向。面對眾多的AD域攻擊行為，我們也可以選擇自建檢測策略，通過分析AD域控的日志，對攻擊行為進行實時檢測。

將AD域日志引入日志分析平臺，通過模擬域攻擊行為產生攻擊事件，以攻擊日志提取關鍵特征，構建安全規則，形成檢測策略。

自建檢測策略很難全部覆蓋，這很大程度上就取決于自身對AD域攻防的理解。為此我們需要把精力投入到那些攻擊者最常用的域攻擊技術上，比如BloodHound信息收集、域管賬號創建、LSASS憑證竊取、哈希傳遞攻擊、黃金票據攻擊等。

（1）信息收集

攻擊者在收集一定信息后，通過BloodHound定位域管理員以找到最佳攻擊路徑。通過監測5145事件，可識別到可疑的Sharphound域信息探測行為。

（2）權限提升

攻擊者會通過各種方式來獲取域控權限，最直接的方式就是添加一個域管理員賬號。通過監測4728事件，關注敏感用戶組特權賬號添加情況。

（3）憑證獲取

竊取憑證最常用的一種方式就是使用mimikatz獲取LSASS內存中保存的用戶憑證。通過監測4663事件，從而發現嘗試LSASS進程竊取憑證的操作。

（4）橫向移動

在內網橫向過程中，哈希傳遞攻擊是最常用的手法，但因為和正常的訪問行為非常類似，檢測是比較困難的。通過監測4624事件，設置白名單機制，從正常的訪問行為中，找出異常登錄行為。

（5）權限維持

攻擊者常用黃金票據來做域控權限維持，利用krbtgt的hash來偽造TGT，就可以隨意偽造域內管理員用戶。通過監測4624事件，利用帳戶與SID的對應關系，可以找到偽造的用戶，從而識別可疑的黃金票據攻擊。

（6）痕跡清除

為避免入侵行為被發現，攻擊者總是會通過各種方式來清除痕跡，最簡單粗暴的就是清除安全日志。通過監測1102事件，可以監控安全日志被清除的操作。

03、結束語

基于AD域控的日志分析，將AD域攻防矩陣圖與安全檢測策略進行對應，自建安全檢測策略30+，覆蓋常見的域攻擊手法，并持續地擴展和優化檢測策略，從而保障AD域的安全。

我想，這個探索的過程，最大的收獲莫過于對安全日志的分析和攻擊場景構建的深刻理解。