DCSync 攻击定义

快速搜索“DCSync”会返回 83,500 页。有很多信息需要吸收。不要让第一个结果欺骗了您，DCSync 不仅仅是麦当劳员工门户。您可以筛选其他 83,499 个结果，或者直接在此处继续阅读。本文解释了什么是 DCSync 攻击以及使用它的原因。成功的 DCSync 攻击的结果可能是毁灭性的，但防御和检测策略可以更好地保护企业。

什么是 DCSync 攻击？

DCSync 是一种用于滥用域控制器 (DC) 同步的技术。因此得名 DCSync。 DC 的一个关键功能是复制过程，域中的所有 DC 共享有关 Active Directory (AD) 的信息。与 DCShadow 类似，DCSync 攻击模拟此复制过程以欺骗 AD 共享敏感信息。最值得注意的是密码数据。在 DCSync 攻击期间，当前和历史密码哈希值将被提取，并可通过多种不同方式使用。

DCSync 攻击有多常见？

MITRE ATT&CK 在其对 DCSync 的解释中引用了最近的知名团体和活动。名为 LAPSUS$的威胁组织在最近的攻击中利用 DCSync 攻击来执行权限升级。臭名昭著的 Solar Winds 攻击还涉及 DCSync 攻击。

DCSync 被归类为一种凭证转储技术，最常用于维护持久性或提升权限。由于 DCSync 需要具有提升权限的 AD 帐户，因此并非每个活动都涉及它。在许多情况下，攻击者必须首先获得对具有管理员、域管理员或企业管理员组成员资格的帐户的访问权限。通过访问如此高权限的帐户，攻击者可能已经得到了他们想要的东西。

更常见的情况是为帐户授予“复制目录更改”权限，而不是特权组中的成员身份。此类权限对于与 AD 集成的应用程序很常见，特别是 Azure AD DS 连接器帐户需要这些权限。在这种情况下，攻击者可以利用该帐户执行 DCSync 攻击。

DCSync 攻击如何运作？

使用 mimikatz 工具包时通常会引用 DCSync 攻击，但其他工具（例如 Impacket 的 Secretsdump 和 DSInternals Get-ADReplAccount）也会执行相同的攻击。无论采用哪种方法，这种攻击首先需要获得被授予上述权限的帐户的凭据。

DCSync 不需要 DC 的交互式登录。使用远程 DC 是每个工具中的一个配置选项，并且只需从网络上的任何计算机运行即可。根据目标，攻击者可以简单地针对特定用户帐户或将整个 AD 转储到文件中。

这些类型的攻击会产生什么影响？

一旦 AD 数据被提取，就有多种途径进行额外的攻击。密码散列可以首先用于不需要知道明文密码的攻击。传递哈希、NTLM 中继和传递票证都是作为任何 AD 用户进行身份验证的选项。攻击者还可能尝试破解密码哈希值。了解明文密码可以提供更多机会，例如登录其他应用程序的能力。一些示例可能是人力资源或财务应用程序，但它也允许攻击者转向云，登录 Azure AD 或 Office 365。如果攻击者能够破解当前或历史密码的一小部分，那么他们就可以深入了解组织的密码趋势或可能识别可在其他地方使用的默认密码。

更危险的是使用可逆加密存储密码。通过配置策略以这种方式标记的帐户将其密码以明文形式存储在 AD 中。 DCSync 攻击会提取这些帐户密码，攻击者可以立即使用这些帐户凭据进行身份验证。

DCSync 攻击产生的另一种常见技术是获取黄金票证。当攻击者获取 KRBTGT 帐户的密码哈希时，可能会发生金票攻击。这允许攻击者伪造 Kerberos 票证，从而允许他们以 AD 中的任何帐户进行身份验证。

其他几种攻击也是可能的，但这个故事的寓意是：如果攻击者对环境进行 DCSync 攻击，那将是糟糕的一天。

如何保护 AD 免受 DCSync 攻击

发动 DCSync 攻击需要提升权限。妥善保护这些帐户是防御攻击的最佳方法。第一步是检查管理员、域管理员和企业管理员组中的帐户成员身份。保留在这些组中的帐户必须是专用的管理员帐户，并具有良好的密码和帐户保护措施。在域根授予“复制目录更改”权限的帐户也必须以类似的方式进行识别和保护。

我之前没有提到的另一个有权执行 DCSync 的组是域控制器本身。这看起来很明显，但在防御部分值得注意，因为一个 DC 可以用来攻击另一个 DC，仅使用普通用户帐户即可实现 DCSync。保护 DC 免受此攻击包括强制实施 NTLMv2、每月应用安全补丁以及运行最新的操作系统。以下是此攻击的详细演练。

检测 DCSync 攻击包括监视网络流量以查找源自非 DC IP 地址的复制事件。感兴趣的流量使用 DRSUAPI 协议来请求 DsGetNCChanges 操作。有关此检测的更多详细信息可以在此处找到。

Windows 事件日志还可以提供对 DCSync 攻击的深入了解。 DC 上的事件 ID 4662 表示发生了复制事件。筛选与 DS-Replication-Get-Changes (1131f6aa-9c07-11d1-f79f-00c04fc2dcd2) 和 DS-Replication-Get-Changes-All (1131f6ad-9c07-11d1-f79f-00c04fc2dcd2) 关联的 GUID 将显示有关复制事件，可能有助于识别目标帐户。

结论

与任何攻击一样，预防和检测是关键。防止 DCSync 攻击涉及保护特权 AD 帐户，这一过程在开始之前不需要被破坏。防御策略的后半部分是对事件做出反应。良好的检测策略可以快速识别可疑的复制，并在造成太大损害之前启动响应。

对 DCSync 的深入了解有助于对抗试图使用它的攻击者。用知识武装自己，强化环境。这样做可能会将这些攻击者带到麦当劳门户网站寻找新工作。