美乳丰满人妻无码视频免费_国产成人亚洲影院在线_成在人线AV无码免费可以下载_国产乱子伦精品无码专区_日本内射

首頁> 資訊> 詳情

基于AD Event日志實(shí)時(shí)檢測DSRM后門-關(guān)注

2023-01-10 13:30:41 來源:程序員客棧

01、簡介

每個(gè)域控制器都有一個(gè)目錄還原模式(DSRM)帳戶,它的密碼是在安裝域控時(shí)設(shè)置的,實(shí)際上它對應(yīng)的就是sam文件里的本地管理員“administrator”,基本很少會被重置,因此有著極強(qiáng)的隱蔽性。攻擊者通過獲取域控的DSRM密碼,就可以使用帳戶通過網(wǎng)絡(luò)登錄到域控服務(wù)器,從而達(dá)到權(quán)限維持的目的。

域內(nèi)權(quán)限維持的方式有很多,每增加一條安全檢測規(guī)則,就多一層安全保障。針對DSRM后門,基于AD Event日志能夠幫助我們提供什么維度的檢測,我們通過一個(gè)后門利用實(shí)例來看一下。


(資料圖片)

02、利用方式

(1)獲取域內(nèi)用戶Hash

使用mimikatz查看域內(nèi)用戶test的NTLM Hash。

mimikatz # privilege::debugmimikatz # lsadump::lsa /patch /name:test

(2)將DSRM帳戶和域用戶的NTLM Hash同步

使用DSRM的密碼和指定域用戶test的密碼進(jìn)行同步,在命令行環(huán)境中使用ntdsutil工具重置DSRM管理員密碼。

(3)抓取DSRM密碼

因同步域內(nèi)用戶test的NTLM Hash,可以發(fā)現(xiàn),DSRM Hash 和域用戶test的NTLM Hash一致。

mimikatz#privilege::debugmimikatz # token::elevatemimikatz # lsadump::sam

(4)修改DSRM登錄方式

DSRM 有三種登錄方式,具體如下:

0:默認(rèn)值,只有當(dāng)域控制器重啟并進(jìn)入 DSRM 模式時(shí),才可以使用 DSRM 管理員賬號1:只有當(dāng)本地 AD、DS 服務(wù)停止時(shí),才可以使用 DSRM 管理員賬號登錄域控制器2:在任何情況下,都可以使用 DSRM 管理員賬號登錄域控制器

如果要使用 DSRM 賬號通過網(wǎng)絡(luò)登錄域控制器,需要將該值設(shè)置為 2。

修改注冊表:

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

(5)使用DSRM遠(yuǎn)程登錄

在域成員服務(wù)器上使用DSRM進(jìn)行遠(yuǎn)程登錄,注意domain使用域控的主機(jī)名。

mimikatz # privilege::debugmimikatz # sekurlsa::pth /user:administrator /domain:win-dc01 /ntlm:44f077e27f6fef69e7bd834c7242b040

03、攻擊檢測

當(dāng)攻擊者嘗試重置DSRM管理員密碼或是指定域內(nèi)用戶NTLM Hash同步時(shí),都會生成4769事件,因此可以實(shí)時(shí)監(jiān)控4794事件,一旦攻擊者嘗試修改DSRM密碼就會觸發(fā)告警。

4794事件:每次更改目錄還原模式(DSRM)管理員密碼時(shí),就會生成此事件,包含SID和帳戶名,以及調(diào)用方工作站。

安全規(guī)則:

index=ad  EventCode=4794 | stats count earliest(_time) AS start_time latest(_time) AS end_time  by dest user| eval start_time=strftime(start_time,"%Y-%m-%d %H:%M:%S")| eval end_time=strftime(end_time,"%Y-%m-%d %H:%M:%S") | eval message="在"+start_time+"到"+end_time+"時(shí)間內(nèi),域控服務(wù)器:"+dest +" 疑似DSRM域后門行為,試圖設(shè)置目錄服務(wù)還原模式管理員密碼"+count+"次,操作賬號:"+user| table start_time end_time user message

安全告警效果如下圖:

關(guān)鍵詞: 管理員密碼 遠(yuǎn)程登錄 安全檢測

上一篇:
下一篇: