4 Active Directory 攻击以及如何防范

最近，我在与一家全球制药公司的 Active Directory 安全工程师交谈时，我问了他产品管理手册中最经典的问题：“是什么让你彻夜难眠？”这是陈词滥调（我知道），但有时你得到的不是白眼，而是真正的宝石，这正是发生的事情。

他说：“我们已经采取了很多良好的保护措施，并且管理得相当严格，但我认为可能发生的最糟糕的事情就是有人窃取了我们的 dit 文件。”我以前听说过这个。如果攻击者可以获得域控制器的 NTDS.dit 文件（本质上是 Active Directory 数据库）的副本，他们就可以将其脱机，破解每个用户的密码并使用有效的用户凭据登录，而无需任何人知情。但攻击者如何才能真正窃取该文件呢？它已被锁定，因为它始终在使用中！您必须关闭域控制器，显然有人会注意到这一点。问题开始堆积起来……

长话短说，这次谈话让我走上了一条非常有趣的道路。我对 NTDS.dit 之谜了解得越多，就越发现攻击者破坏 AD 的其他聪明而狡猾的方式。这说得通;毕竟，Active Directory 几乎是所有攻击的主要目标，因为攻击者知道 Active Directory 对于他们寻找和窃取所需内容的重要性。

在这篇博文中，我不仅仅会列出您需要了解的四种 Active Directory 攻击。我还将解释它们的工作原理、真正的攻击者用来实施这些攻击的技术和工具，以及如何防御它们。阵容如下：

攻击＃1。 LDAP 侦察

当攻击者使用 LDAP 查询来收集有关 Active Directory 环境的信息时，他们正在执行 LDAP 侦察。使用这种方法，攻击者可以发现用户、组和计算机，这可以帮助他们定位目标并计划攻击的未来阶段。由于该技术是由已经渗透到公司的攻击者使用的，因此它是一种内部（而不是外部）侦察技术。

如何防范？

相信我，阻止域侦察是非常困难的。默认情况下，Active Directory 中的大部分信息可供所有域用户帐户使用，因此任何受感染的帐户都可以用于执行此类窥探。监控 LDAP 流量并检测异常查询是处理域侦察的最主动的方法。降低风险的最佳方法是确保所发现的任何内容都不能用来对付您。

攻击＃2。使用 BloodHound 进行本地管理映射

BloodHound 是一个 Web 应用程序，可识别和可视化 Active Directory 环境中的攻击路径。它标识从任何 AD 帐户或计算机到所需目标（例如域管理员组中的成员身份）的最快一系列步骤。使用 BloodHound 定期检查您的 AD 可以成为一种有效的防御机制，可以帮助您确保帐户或计算机的入侵不会让攻击者能够入侵您的域。

BloodHoundt 使用 PowerSploit 和 Invoke-UserHunter 这两个工具，首先构建一个映射，其中显示哪些用户可以访问哪些计算机，重点关注本地管理员组（本地管理员映射）。接下来，它枚举加入域的计算机上的活动会话和登录用户的列表。

该数据为攻击计划提供了构建块。对手现在知道谁可以访问哪些机器，以及可以从内存中窃取哪些用户凭据。从那里开始，只需提出正确的问题并可视化攻击路径即可。

如何防范？

防止此类攻击的最简单方法是设置对服务器访问方式的控制。 Microsoft 最佳实践建议对 Active Directory 使用分层管理模型来严格控制访问权限，这可以最大限度地减少 Active Directory 中的攻击路径。此外，密切关注异常身份验证和登录活动可以帮助发现利用攻击路径的尝试。

攻击＃3。使用 Mimikatz 传递哈希值

一旦攻击者在网络中建立了存在，他们的目标就是危害其他系统并获得完成任务所需的特权。 Pass the Hash 是一种凭证盗窃和横向移动技术，其中攻击者滥用 NTLM 身份验证协议来冒充用户，而无需获取帐户的明文密码。 Mimikatz 是一种可以更轻松地执行哈希传递攻击的工具。

如何防范？

您应该使用登录限制来确保您的特权帐户哈希值永远不会存储在可以提取的位置。此外，考虑启用 LSA 保护、利用受保护用户安全组并使用远程桌面的受限管理模式。

攻击＃4。 NTDS.dit 提取

所有 Active Directory 数据都存储在每个域控制器上的 ntds.dit 文件（“dit”）中（默认情况下，位于 C:WindowsNTDS 中）。要访问域控制器上的 ntds.dit 文件，攻击者必须首先获得 Active Directory 的管理员访问权限。或者，攻击者可以通过破坏组织的备份解决方案来从备份中复制 ntds.dit。

如何防范？

为了降低对手提取您的 ntds.dit 文件的风险，请遵循以下最佳实践：

• 清理 Active Directory，包括组策略。
• 尽量减少可以登录域控制器的帐户数量。
• 遵循域控制器的清洁源原则：为域控制器提供服务的所有基础架构（例如 ESX 和连接的存储）和应用程序（例如备份程序）必须处于与域控制器本身相同的安全级别。
• 维护域控制器计算机的物理安全。如果无法确保，请考虑运行只读域控制器。
• 不允许用户拥有跨越安全边界的管理权限。

Netwrix 如何提供帮助？

使用 Netwrix Active Directory 安全解决方案从头到尾保护您的 Active Directory。它将使您能够：

• 发现 Active Directory 中的安全风险并优先考虑缓解措施。
• 强化整个 IT 基础设施的安全配置。
• 及时检测并遏制高级威胁，例如 DCSync、NTDS.dit 提取和金票攻击。
• 使用自动响应选项立即响应已知威胁。
• 通过快速 Active Directory 恢复最大限度地减少业务中断。

常问问题

攻击 Active Directory 的常见方法有哪些？

大多数攻击者通过泄露用户凭据来获取对 Active Directory 的访问权限，然后使用权限升级技术来获取进一步的访问权限。常见的攻击包括：

• 传递哈希值
• 通过门票
• 密码喷洒
• 黄金门票
• DC影子

在 Netwrix 攻击目录中了解有关 AD 攻击的更多信息。

哪些工具可用于破坏 AD？

最流行的工具包括：

• 米米卡茨
• 功率分析仪
• 寻血猎犬
• 死星