使用 BloodHound AD 进行域攻击

AD 攻击 - 本地管理员映射

一旦攻击者在您的 Active Directory (AD) 域中建立立足点，他们就会开始寻找实现最终目标的方法，例如文件服务器或数据库中的敏感数据、传播勒索软件或破坏您的 IT 基础设施。为此，他们必须首先获得额外的访问权限 - 理想情况下，是域管理员等高特权组的成员资格。

BloodHound Active Directory 可帮助他们找到实现这一目标的路径。该 Web 应用程序发现并可视化攻击路径 - 一系列战略横向移动，使攻击者能够增加其权限。通过遵循该工具制定的攻击路径，攻击者通常可以快速从普通用户帐户转移到对 Active Directory 的控制。

组织还可以使用 BloodHound 作为防御工具，以确保没有可行的途径来危害其 IT 环境中的关键帐户和计算机。

BloodHound AD 的工作原理

在幕后，BloodHound 安全工具依赖 PowerSploit 和 Invoke-UserHunter 命令来构建其攻击路径。首先，Bloodhound 枚举 Active Directory 域中的两个关键数据集：

• 首先，它构建关系信息图，例如谁可以访问企业中的哪些计算机。这重点关注本地管理员组中的成员身份（本地管理员映射）。
• 接下来，BloodHound 枚举加入域的计算机上的活动会话和登录用户。该数据收集揭示了谁访问了哪些系统以及这些系统上存储了哪些用户凭证，这些凭证随时可以从内存中被窃取。

收集 BloodHound 攻击数据

要执行数据收集，攻击者可以运行以下 PowerShell 命令，该命令收集信息并将其写入 CSV 文件：

或者，可以使用以下 SharpHound 命令收集数据：

C:> SharpHound.exe

将从域控制器收集以下信息：

• 安全组成员身份
• 域信托
• Active Directory 对象上的可滥用权限
• 组策略链接
• OU树结构
• 计算机、组和用户对象的几个属性
• SQL 管理链接

可视化和查询 BloodHound 数据

Bloodhound 网络安全工具随后会分析数据并生成域中攻击路径的可视化结果。以下是攻击路径的示例版本：

在 BloodHound AD 中运行查询

BloodHound 使计划对域的攻击就像使用 Google 地图计划公路旅行一样简单。它包括许多预先构建的查询，其中一个用于查找危害域管理员组的最短路径，如下面的列表所示：

或者，您可以指定自己的源和目标，BloodHound 将绘制出任何可能的攻击路径，如下所示：

图 1. 指定源和目标计算机

图 2. 查看 BloodHound 绘制的攻击路径

使用 BloodHound 防御攻击

BloodHound AD 对于映射域中的漏洞非常有用。减少这些漏洞的一个好方法是严格控制对服务器的特权访问。例如，Microsoft Windows 使用企业访问模型和快速现代化计划 (RaMP) 提供 Active Directory 安全性的特权访问策略最佳实践。

此外，监视可疑的身份验证和登录活动可以暴露利用攻击路径的尝试。

Netwrix 如何提供帮助

如需保护域的全面方法，请查看 Netwrix Active Directory 安全解决方案。它将帮助您：

• 定期执行风险评估，查明 AD 环境中的安全漏洞。
• 识别并限制对最有价值的数据和其他 IT 资源的访问。
• 锁定特权组（例如域管理员）中的成员资格。
• 及时发现可疑活动，防止严重的安全漏洞。