Active Directory 攻击：您需要了解的一切

了解 Active Directory 攻击至关重要，原因很简单：Active Directory 提供了基本的身份验证和授权服务，可让您的 IT 生态系统保持运行。任何控制您的 Active Directory 的对手都可以窃取您的敏感数据、启动勒索软件或使您的业务陷入瘫痪。

但是 Active Directory 攻击到底是如何展开的呢？最常见的 Active Directory 攻击有哪些？组织可以采取哪些步骤来降低风险？请仔细阅读，找出答案。

网络攻击的五个阶段

Active Directory 攻击遵循与任何网络攻击相同的五个阶段：侦察、计划、入侵、横向移动和权限升级以及渗透和清理。

1. 侦察

攻击者首先识别目标组织并收集有关它们的信息——他们可能能够窃取哪些有价值的数据、他们可以从勒索软件攻击中获得多大的回报、组织的网络安全态势有多强等等。侦察可能涉及使用税务记录、职位发布和社交媒体等公共资源来发现组织使用哪些系统和应用程序、员工姓名等。它还可以涉及网络和端口扫描等主动技术，以了解目标组织的网络架构、防火墙、入侵检测程序、操作系统、应用程序和服务，以及向第三方供应商、承包商和其他人提供的访问权限。

2. 规划

接下来，攻击者确定使用哪个攻击向量进行渗透。示例包括利用零日漏洞、发起网络钓鱼活动（例如商业电子邮件泄露 (BEC) 攻击），甚至贿赂员工以提供凭据或部署恶意软件。

3. 入侵

然后，攻击者使用所选的攻击向量来尝试突破组织的网络边界。例如，对手可能会通过密码喷洒、撞库或暴力攻击成功猜测员工的凭据；通过未打补丁或配置错误的系统进入；或者诱骗员工启动隐藏在网络钓鱼电子邮件恶意附件中的恶意软件。

4. 横向移动和权限提升

一旦对手在网络中获得初步立足点，他们就会寻求升级权限并危害其他系统以定位敏感数据和其他关键资源。

他们还想保持访问权限。这意味着使用一些策略来逃避检测，例如使系统错误地报告一切正常。它还通常涉及确保他们能够在被发现并使用持久性技术（例如创建新用户帐户、修改注册表设置、设置 PowerShell 脚本和安装后门）启动时重新进入。

5. 渗漏和清理

最后，攻击者会窃取或加密组织的数据，或者可能破坏系统以扰乱业务运营。此外，他们还经常使用特权访问来禁用备份并掩盖其踪迹，以阻止调查并阻止组织增强对未来攻击的防御。技术包括卸载攻击中使用的程序或脚本，删除它们创建的任何文件夹或帐户，以及修改、损坏或删除审核日志。

常见的Active Directory攻击及防御策略

其中一些阶段不是特定于系统的。例如，黑客可以使用网络钓鱼攻击来收集任何公司网络的凭据。但某些阶段，尤其是横向移动和权限升级，利用了已渗透的 IT 生态系统的特定功能。以下是专门用于 Active Directory 攻击的一些顶级技术。

攻击路径映射

攻击者的一个关键目标是获得高特权 Active Directory 安全组的成员资格。特别是，控制作为 Domain Admins 组成员的帐户的攻击者在域中拥有无限的权力。

不幸的是，成为域管理员往往比应有的容易得多。攻击者可以使用名为 BloodHound 的开源工具来识别 Active Directory 攻击路径 - 可滥用的权限和操作链，这些权限和操作可能使攻击者能够危害用户帐户以获得管理权限。攻击路径通常涉及隐藏权限、无约束委派、嵌套组成员身份和 AD 架构中固有的安全漏洞的组合。

BloodHound 为黑客提供了 Active Directory 攻击路径的清晰图形视图，从而提供了控制整个域的路线图。在许多组织中，很大一部分普通用户帐户提供了只需几个步骤即可获得域管理员权限的攻击路径。

防御策略

防御此类 Active Directory 攻击的策略有两个：

• 使用 Active Directory 攻击路径管理软件通过攻击路径管理来识别和缓解攻击路径，从而主动最大程度地减少可供黑客发现和利用的攻击路径
• 使用实时威胁监控和变更管理解决方案，积极监控您尚未缓解的任何 Active Directory 攻击路径，并监视环境中的其他可疑活动。

利用组策略

组策略是 Active Directory 的一项极其强大的功能。它可以通过称为组策略对象 (GPO) 的相关设置组来集中管理用户和计算机。管理员可以使用 GPO 来实现数以千计的重要目标：在一定数量的错误密码后锁定帐户、阻止远程计算机上的身份不明的用户连接到网络共享、禁用用户计算机上的命令提示符等等。

但与大多数强大的工具一样，Microsoft Windows 组策略是一把双刃剑 - 通过创建或删除 GPO 或更改 GPO 设置，黑客可以广泛破坏您针对横向移动、权限升级和数据盗窃的防御措施。

滥用组策略的过程相当简单。一旦攻击者破坏了您 IT 环境中的用户帐户，他们就可以使用 BloodHound、PowerSploit 或 Mimikatz 等开源工具来检查您的 GPO，并找出哪些用户帐户将向他们提供完成其所需的权限。活动目录攻击。 （事实上，修改 GPO 的委托访问是攻击路径中的常见元素。）攻击者可以使用前面提到的任何凭据收集攻击来危害必要的帐户，然后开始重塑组策略以适应其恶意目的。

防御策略

为了防御这种类型的 Active Directory 攻击，您需要有效的组策略管理。有两个策略尤其重要：将具有 GPO 访问权限的帐户数量减少到最低限度，并阻止对关键 GPO 设置的更改。

基于复制的攻击

直流同步

DCSync 攻击滥用 Microsoft Directory 复制服务，这是一项无法禁用的合法 Active Directory 服务。拥有域复制权限的帐户的攻击者可以使用开源工具 Mimikatz 来运行 DCSync 命令。此命令使他们能够模拟 AD 域控制器 (DC) 并发出复制请求。作为响应，他们从真实的 DC 接收密码哈希值，然后黑客可以在 Active Directory 攻击中使用这些哈希值，例如传递哈希值、金票和银票（如下所述）。

DC影子

DCShadow 是另一个 Mimikatz 命令，它使具有特权凭据的攻击者能够冒充域控制器。但 DCShadow 不是从 DCSync 等复制请求接收信息，而是使用复制将更改推送到域。由于更改是通过复制而不是直接用户操作进行的，因此这些 Active Directory 攻击很难检测到。

例如，攻击者可以将他们已经泄露的帐户设置为域管理员成员，然后将该更改复制到其他 DC，从而获得跨域的提升权限。此外，他们还可以从域管理员组中删除所有其他用户，以获得域的独占控制权。

防御策略

为了降低这些 Active Directory 攻击的风险，组织应最大限度地减少在 AD 环境中拥有域复制权限和审核活动的帐户数量。

利用 NTLM 身份验证

传递哈希攻击

传递哈希是一种利用 NTLM 身份验证协议的 Active Directory 攻击。简而言之，这种 Active Directory 攻击使攻击者能够在不知道其明文密码（个人登录时键入的实际字符串）的情况下危害 AD 帐户。相反，黑客所需要的只是密码的哈希值——NTLM 用于验证用户身份的密码的加密版本。使用 Mimikatz 等黑客工具，他们可以使用密码哈希发送登录请求并正确响应域控制器的登录质询。

Pass the Hass 特别危险，因为攻击者可以轻松地从他们登录的系统的 LSASS 内存中获取密码哈希值，其中很可能包括 IT 专业人员在本地登录用户计算机或使用 RDP 时留下的特权帐户的密码哈希值远程工作解决问题。利用这些哈希值，他们可以窃取敏感数据、安装远程访问工具 (RAT) 等。

防御策略

防御 Pass the Hash 最明显的方法是摆脱 NTLM。毕竟，早在 Windows 2000 中，NTLM 就被 Kerberos 取代为默认身份验证协议。但是，许多企业应用程序仍然需要 NTLM，因此组织通常不能简单地完全禁用它（尽管明智的做法是尽一切努力至少禁用较弱的功能） NTLMv1)。

幸运的是，还有多种其他策略可以防御哈希传递攻击。它们包括审核登录活动、通过攻击路径管理限制横向移动、使用托管服务帐户 (MSA) 以及不允许域管理员使用其特权帐户登录工作站（甚至不允许他们的个人计算机！）。

利用 Kerberos 身份验证

Kerberos 是一种比 NTLM 更强大的身份验证协议，但你猜怎么着 — 攻击者也设计了滥用它的方法。使用 Kerberos，用户永远不会直接向他们需要使用的各种服务（例如文件服务器）验证自己的身份。相反，在每个 DC 上运行的 Kerberos 密钥分发中心 (KDC) 会颁发票证授予票证 (TGT)，其中包括唯一的会话密钥和指定该会话有效时间的时间戳（通常为 8 或 10 小时） 。当用户需要访问资源时，无需重新进行身份验证；他们的客户端计算机只是发送 TGT 来证明用户最近已经通过了身份验证。

黄金门票

重要的是，在发送 TGT 之前，KDC 使用特殊帐户（KRBTGT 帐户）的密码哈希对其进行加密。该密码哈希在 Active Directory 域中的所有 DC 之间共享，以便它们可以读取当用户请求访问各种资源时，他们收到的 TGT。

在金票攻击中，攻击者窃取 KRBTGT 帐户的密码哈希，这使他们能够绕过 KDC 并自行创建 TGT（金票）。换句话说，他们可以像 DC 一样行事，这使他们能够访问网络上的任何内容。

银票

银票比金票受到更多限制，因为它们仅提供对特定服务帐户的访问。尽管如此，它们仍然具有相当大的破坏性，而且更难被发现。 Silver Ticket 攻击的工作原理如下：泄露了有效域用户凭据的对手可以请求服务的 TGS，例如 SharePoint 或 SQL Server。然后，他们可以提取服务帐户密码的哈希值，并使用它来伪造该服务的额外 TGS 票证（银票证）。

Kerberoasting

在 Kerberoasting 攻击中，泄露有效域用户凭据的对手可以请求服务（例如 SharePoint）的 TGS，然后尝试使用现成的密码破解工具（例如 Hashcat）离线破解服务帐户的密码或开膛手约翰。

防御策略

防御这些攻击的策略包括以下内容：

• 定期更改 KRBTGT 密码，并在有能力创建金票的人员离开您的组织时更改 KRBTGT 密码。
• 最大限度地减少可以访问 KRBTGT 密码哈希的帐户数量。
• 不要授予最终用户工作站的管理员权限，也不要让管理员登录最终用户计算机。
• 使用 MSA 确保服务帐户密码定期轮换。
• 投资 Active Directory 监控和保护解决方案，该解决方案可以发现表明这些攻击的活动并立即向您发出警报。

结论

虽然这篇博文详细介绍了一些顶级的 Active Directory 攻击并提供了防御策略，但最好不要对 Active Directory 安全采取零敲碎打的方法。随着威胁形势的不断发展和 IT 生态系统的复杂性不断增加，实施深思熟虑的纵深防御策略比以往任何时候都更加明智。一个很好的入门方法是使用博客文章“保护 Active Directory 环境的 8 种方法”中列出的核心最佳实践。 ”