使用 BloodHound 查找可滥用的 Active Directory 权限

BloodHound 是一款功能强大的工具，可以识别 Active Directory (AD) 中的漏洞。网络犯罪分子滥用此工具来可视化可滥用的 Active Directory 权限链，从而使他们能够获得更高的权限，包括强大的域管理组的成员身份。

本指南旨在帮助渗透测试人员使用 BloodHound 首先识别这些漏洞，以便企业能够阻止攻击。

什么是 BloodHound 以及它是如何工作的？

BloodHound 是一种 Active Directory 侦察和攻击路径管理工具，它使用图论来识别源 Windows 域中的隐藏关系、用户权限、会话和攻击路径。其主要目的是为网络安全专家提供保护其 IT 生态系统免受威胁行为者侵害所需的洞察力。

寻血猎犬如何运作？一个使用 Electron 编译的单页 JavaScript Web 应用程序，它将 Windows AD 对象作为节点存储在 Neo4j 数据库中。它有一个 PowerShell 摄取器，并支持 Azure 4.0 版。

收集 Active Directory 权限

由于 BloodHound 是一种数据可视化和分析工具，因此您应该将其与 SharpHound 或 AzureHound 等数据收集工具一起使用。要收集您的 Active Directory 权限集，请执行以下步骤：

1. 首先，下载并安装最新版本的 AzureHound 或 SharpHound，然后运行它。
2. 默认情况下，它会创建多个 JSON 文件并将它们放入一个 zip 文件中。将该 zip 文件拖放到 BloodHound 中。
3. 使用 BloodHound 探索数据，如下所述。

BloodHound 如何与 Active Directory 权限配合使用

BloodHound 使 AD 渗透测试人员能够绘制出攻击路径——访问权限链和其他安全漏洞，这些漏洞可能使攻击者能够横向移动并提升他们在环境中的权限。例如，他们可以使用搜索栏查找域用户组，并查看该组是否在任何地方具有本地管理员权限以及它可以控制哪些 AD 对象。

事实上，多年来，许多组织失去了对其 Active Directory 权限的控制。随着公司的发展和变化，组织忘记删除用户不再需要的权限，从而造成攻击者可以利用的漏洞。

经常被滥用的特权包括：

• 重置密码 - 在不知道用户帐户当前密码的情况下更改用户帐户密码的权利
• 添加成员 - 能够将用户添加到特定群组
• 完全控制 - 对用户或群组执行您想要的任何操作的权利
• 写入所有者/写入 DACL - 更改对象的权限和所有权的权利
• 写入 - 写入对象属性的能力
• 扩展权利 - 各种权利的组合，包括重置密码（有关 TechNet 的完整参考，请单击此处）

如何使用 BloodHound 收集 Active Directory 权限

映射攻击路径的第一步是收集权限。在加入要从中收集权限的域的计算机上，运行以下 PowerShell 命令：

Invoke-Bloodhound -CollectionMethod ACLs

这将创建所有 Active Directory 权限的 CSV 导出，然后我们将其导入到 BloodHound 中。

攻击路径示例

让我们回顾一下攻击路径的几个示例。

攻击路径1：重置密码

我们将探索的第一个 BloodHound 攻击路径是重置用户密码的能力。

重置密码的功能将在 BloodHound 中显示为标记为“ForceChangePassword”的攻击路径：

通过将多个密码重置结合在一起，可以从非特权帐户转到域管理员，如下所示：

请注意，如果用户正在积极使用其帐户，他们会注意到密码是否被重置。因此，攻击者可能会检查该帐户的上次登录时间，以查看是否可以在不暴露的情况下执行密码重置。

攻击路径 2：组成员身份

另一种攻击路径滥用将成员写入组的功能。通过将用户添加到组中，攻击者可以慢慢提升他们的访问权限，直到他们可以将自己添加到有权访问其目标敏感数据的组中。这种方法对于攻击者来说非常有用，因为他们很少需要像域管理员这样的高特权组的成员身份来访问他们想要的数据，并且将用户添加到特权较低的组中很少会引发警报。

在BloodHound中，更改组的能力将显示在带有“AddMember”标签的攻击路径中，如下所示：

通过将多个组成员身份更改结合在一起，攻击者可以慢慢增加其权限，直到达到目标。该示例说明了非特权用户如何通过组成员身份更改成为域管理员：

攻击路径 3：更改权限

更改对象的权限基本上可以让您执行任何您想要的操作。例如，您可以授予自己更改组成员资格、重置密码或从扩展属性中提取有价值信息的权限。使用本地管理员密码解决方案 (LAPS) 时，这尤其危险。

在 BloodHound 中，更改对象权限的能力将被标记为“WriteDacl”：

通过将多个权限更改结合在一起，攻击者可以横向移动并获得提升的权限，如下所示：

攻击路径4：组合攻击

大多数攻击路径涉及多种类型的权限。下面的示例说明了从非特权用户帐户“Michael”到域管理员帐户的三种攻击路径：

Netwrix 如何帮助您防范 Active Directory 权限攻击

为了提高安全性，请首先检查上面讨论的权限，因为它们是最常被利用的权限之一。

BloodHound 是可视化 Windows AD 域中潜在问题的好方法。然而，这需要大量的手工工作。因此，您的网络安全团队可能无法使用 BloodHound 来保护您的资产和系统，特别是当他们已经全神贯注于项目和技术请求时。

减少 Windows Active Directory 域攻击面的最佳方法之一是使用 Netwrix 的端到端 Active Directory 安全解决方案。我们的软件功能强大、全面且用户友好，可帮助您保护 Active Directory、确定风险缓解工作的优先级并加强您的安全状况。具体来说，我们的工具使您能够：

• 识别、评估 AD 安全态势中的风险并确定其优先级
• 防止身份盗窃
• 密切关注权限变化
• 及时检测并响应威胁，包括金票攻击和 Kerberoasting 等高级威胁
• 通过闪电般的 AD 恢复最大限度地减少业务中断