DCShadow 攻击：它是什么以及如何防御

对于任何系统管理员来说，流氓服务器都是一个噩梦。但是，当该服务器变成域控制器时，您就会遇到噩梦般的情况。 DCShadow 攻击就是这种情况。

在这篇文章中，我们将详细分析 DCShadow 攻击期间会发生什么，以及防御它的方法，并最终防止自己惊出一身冷汗。

什么是 DCShadow 攻击？

DCShadow 是一种后利用攻击，攻击者利用特权凭据来模仿域控制器并对 Active Directory 进行恶意更改。

DCShadow 于 2018 年在 BlueHat IL 和 Black Hat 首次推出。在他们的演示中，Vincent Le Toux 和 Benjamin Delpy (gentilkiwi) 介绍了一种新的攻击方法，该方法模拟域控制器 (DC) 的创建并利用其同步来注入恶意软件更改为 Active Directory (AD)。以这种方式进行的更改可以简单地融入到常规域复制中。 DCShadow 是 gentilkiwi 工具 Mimikatz 中包含的一项功能。

DCShadow 攻击如何运作

DCShadow 攻击主要用于创建持久性。为了让攻击者利用 DCShadow，他们需要访问域管理员 (DA) 凭据。出于本文的目的，我们将特别关注 DA 访问，但也有一些绕过 DA 凭据的方法，Nikhil“SamratAshok”Mittal 在单独的博客中介绍了这些方法。

使用 DA 帐户，攻击者通过在 CN=Configuration 分区中创建两个对象来注册假域控制器。接下来，必须修改攻击计算机帐户的 SPN。此步骤有效地使攻击者的计算机成为临时域控制器。

要理解下一个概念，首先要从高层次理解 DC 复制，这一点很重要。典型的Active Directory环境配置有多个DC。当用户登录计算机时，计算机会自动连接到这些 DC 之一。当管理员对 Active Directory 进行更改时，也会发生同样的情况。例如，管理员连接到一台 DC，并调整用户的组成员身份。然后，该更改将复制到所有其他 DC。

攻击者利用此复制来偷偷地更改 Active Directory。假 DC 用于对 AD 进行所需的更改，然后触发复制。其他（真实的）DC 只是将其视为典型的复制。

攻击最后清理了为降级假 DC 所做的更改，就好像它根本不存在一样。

让 DCShadow 运行只是一个开始。这种攻击取决于你如何使用它。

攻击者可以做什么？

如前所述，DCShadow 攻击用于创建立足点并维持持久性。一个简单且易于检测的示例是攻击者创建一个新的 AD 帐户并授予其权限。这样，当原始帐户被禁用、密码更改或以其他方式检测到时，攻击者可以简单地转移到新创建的帐户。 DCShadow 攻击能够执行类似的持久性技术，但以普通目录同步为幌子。

攻击者不会为了简单地创建一个后门帐户而经历所有这些麻烦。如果他们到目前为止都这么狡猾，那么他们一定会使用更具创造性的技术造成更大的伤害。可以修改的一些示例用户属性包括 sIDHistory、ntpwdHistory、PrimaryGroupID 和whenChanged。其他攻击方法可能包括进行架构更改、攻击受信任域、攻击 KRBTGT 或修改 DACL。

对 SID 历史的攻击

为了简要解释如何使用 SID 历史记录，Mimikatz 是以管理员身份从加入域的工作站运行的。黑客帐户将其 SIDHistory 值设置为授予域管理员权限的帐户的 SID。如果没有应用进一步的权限，下次黑客帐户登录时，将评估与该帐户关联的 SID。由于该帐户与 DA 帐户关联，因此这实际上授予了黑客帐户相同的权限。 Sean Metcalf 有一篇很棒的文章，充分解释了 SID 的利用历史。

使这种攻击更加可怕的是，帐户修改是在不生成任何典型日志的情况下进行的。

防御与检测

DCShadow 攻击不是一个可以简单修补的漏洞。该攻击以从未打算使用的方式利用 Microsoft 协议，因此，这将被视为“无法修复”漏洞。

虽然这听起来像是一个可怕的情况，但有一些方法可以防御 DCShadow 攻击。如前所述，DCShadow 是一种后妥协攻击，因此防御它的关键步骤是从一开始就绝不允许它发生。攻击者在获得 DA 之前必须采取的每一步都是另一个预防机会。保持良好的 Active Directory 卫生是抵御 DCShadow 的最佳防御措施。

确实，DCShadow 确实绕过了 SIEM 收集的或 SOC 监控的大多数日志，但它远非不可检测。网络流量是一种高保真的检测方法。 CN=Configuration 对象和 DC 复制的修改只能从 DC 进行，因此来自其他 IP 的网络流量将被视为可疑，甚至应该被阻止。

图表来自DCShadow.com

Benjamin Delpy 还提供了一个 splunk 脚本，用于检测指示 DCShadow 攻击的事件日志。这包括检查是否添加 SPN。

DCShadow 攻击刚刚度过了 5 岁生日，许多检测工具已经迎头赶上并能够检测可能的攻击。 Quest On Demand for Audit 能够检测 DCShadow，而 Quest Recovery Manager for Active Directory Disaster Recovery Edition 可以帮助将受影响的对象恢复到其原始配置。

结论

为什么要使用 DCShadow？如果攻击者已经有了DA，那不是游戏就结束了吗？大多数情况下是可以的，但如果有良好的 Active Directory 卫生和强大的检测团队，这种访问可能是短暂的。最好的防御是防止攻击者走到这一步。

帐户分层、最小权限和良好的密码卫生等传统保护方法使攻击者更难以执行 DCShadow 攻击。虽然这并不能带来安慰，但值得一提的是，如果攻击者要在您的环境中获得 DA，则会出现更常见的不同攻击。 DCShadow 已经走出阴影，不再那么可怕了。

接下来的议程，我将介绍名为 DCSync 的恶魔，敬请期待。