基于AD Event日志监测域内信息探测行为

news2024/12/23 15:54:22

01、简介

当攻击者获得内网某台域内服务器的权限,就会以此为起始攻击点,尽可能地去收集域的信息,以获取域控权限作为内网的终极目标。例如,攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息,通过定位域管理员以找到最佳攻击路径,从而拿到域管理员权限。

针对域内信息探测的行为,是攻击者入侵的前兆,基于AD Event日志检测攻击者的信息探测行为,就可以预先给安全管理员发出告警,帮助安全管理员找到网络中存在的安全弱点。

02、域内敏感用户组探测

(1)查询域管理员用户

net group "Domain Admins" /domain

fe57bbde0e0809134071fdbefc7d3b2c.png

(2)日志分析:当用户查询管理员组时,会出现4次4661事件,其中两次4661事件的对象类型是SAM_DOMAIN,另外两次的对象类型是SAM_GROUP。4661事件:记录了域用户test访问了SAM_GROUP组的SID,对应的组名就是 Domain Admins,这个就可以作为关键特征。

b69121ad096110780185c21fc819cc85.png

68177df30047bbc548198baf03614223.png

(3)检测策略:监测4661事件,找到访问SAM_GROUP组的SID的用户,并关联到事件4624,找到用户对应的登录IP。如下图:用户test通过192.168.28.20 查询了 domain admins域管理员组信息。

检测示例:

957a10e6ed1cbf6481f0a9a995225094.png

02、域内敏感用户信息探测

(1)获取指定域用户的详细信息

net user bypass /domain

27e8eb3fa0c48bbc87daeb0dcc9d0ab7.png

(2)日志分析:当用户获取指定域用户的详细信息时,会出现多次4661事件,对象类型是SAM_USER,SID对应的是帐户的SID,通过日志记录可以看到用户test查看了域用户bypass成员的详细信息。

ba099d2ab91e59c053f0187f2e3d7508.png

fabcab1c1a0d254142e205146e813d42.png

(3)检测策略:监测4661事件,找到访问SAM_USER组的SID的用户,可以进一步关联test的登录IP以及SID对应的用户名。如下图:用户test在192.168.28.20 查看了域管理员bypass用户的详细信息。

检测示例:

8b3bcb678bb6a676fb6b655165d4ed52.png

04、定位域管理员

(1)使用BloodHound分析域的攻击路径

BloodHound是一款域渗透分析工具,可以使用BloodHound识别高度复杂的域攻击路径,只需要在服务器上运行SharpHound.exe,就可以收集域内信息。

4848d04ab35760dae7297bfc267117a8.png

日志分析:在使用SharpHound收集信息过程中,产生多条5145的事件,服务端的特征重点关注访问的相对名称包含srvsvc、wkssvc、winreg、samr等,对应的事件还记录了请求的用户帐户test,源地址:192.168.28.20。

9591c5d17dbadf662d67854fc34c8200.png

(2)PVEFindADUser

可用于查找用户登录的服务器,为攻击者提供域管理员所在的位置,为下一步攻击提供必要的信息。

9f1373b599ee0021b28a781dad11c6fe.png

日志分析:在使用PVEFindADUser收集信息过程中,产生两条5145的事件,访问的相对名称都是 winreg。

09cea3d3426aab9de090db91b40d58ba.png

(3)PsLoggedOn

PsLoggedOn可以查看本地登陆的用户和通过本地计算机或远程计算机资源登陆的用户。

1b5149ab21eb50440e0fba6216791748.png

日志分析:在使用PsLoggedOn收集信息过程中,产生多条5145的事件,访问的相对名称包括 winreg、lsarpc、srvsvc。

4b35b5c11384d7552b23197b0024c913.png

(4)检测策略:监测5145事件,重点关注访问相对名称包含srvsvc,wkssvc,winreg,samr,lsarpc的事件,识别出可能的探测行为。

检测示例:

75628738dbd1b97530481f16deb13a5d.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/115190.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【c++】STL--vector

前言 想必大家已经对string有所了解了,string是专门用于字符串的。今天讲到的vector则是表示可变大小数组的序列容器。就像数组一样,vectoer也采用的连续存储空间来存储元素。也就是意味着可以采用下标对vector的元素进行访问,和数组…

从根本上理解Synchronized的加锁过程

伸手摘星,即使一无所获,亦不致满手污泥。 请关注公众号:星河之码 作为一个Java开发,对于Synchronized这个关键字并不会陌生,无论是并发编程,还是与面试官对线,Synchronized可以说是必不可少。 …

顶刊实证复现:金融投资行为与企业技术创新 -动机分析与经验证据(思路梳理+全数据源+python代码)

标题:金融投资行为与企业技术创新 ——动机分析与经验证据 参考文献 作者:段军山 庄旭东 数据概况 1、数据来源: 第三方数据库 2、样本:2009-2018 中国 A 股市场的上市公司科技数据和财务数据 3、数据处理: (1)由…

Filter和Listener学习笔记

1.什么是Filter 2.定义过滤器 (注意导的Filter的包来源是Javax.servlet) /* 定义一个过滤器的步骤:1. 自定义一个类实现Filter接口2. 把过滤器规则定义在doFilter方法里面3. 使用WebFilter注解配置过滤的路径*///过滤的路径 //WebFilter(&qu…

用拙劣的Python技术画出的圣诞树(勿喷)

2022年圣诞节到来啦,很高兴这次我们又能一起度过~ 一、前言 今天晚上,准备睡觉的我看见了CSDN有活动了,我就立马飞奔到电脑前面 这不,CSDN又举办了一场活动,看着令人心动的奖励和丰富的勋章,我的口水都从眼睛里流出来了(夸张),我准备创造一颗圣诞树,但是又想到我…

「设计模式」责任链模式

「设计模式」责任链模式 文章目录「设计模式」责任链模式一、概述二、结构三、案例实现四、优缺点五、应用场景六、模拟过滤器机制七、拓展八、小结一、概述 责任链模式(Chain of Responsibility Pattern)为请求创建了一个接收者对象的链。这种模式给予…

高频时序数据的储存与统计方案

文章目录问题背景解决办法第一步,梳理数据和计算要求第二步,确定存储和计算方案第三步,确定技术选型和方案第四步,实施优化方案后记问题背景 发电设备中常常会放置传感器(DCS)来采集数据以监控设备运转的状…

河海大学软件工程学硕考研复试经验贴

一、写在前面 想必看到这篇文章的学弟学妹都已经考完初试了,考得如何每个人心中各有千秋。无论如何,坚持将考研整个过程走下来的你们就已经是最棒的了,现在可以好好休息一下,静待考研成绩的公布了。 我写下这篇文章的目的主要是…

4.3.1、IPv4 地址概述

1、基本介绍 在 TCP/IP 体系中,IP 地址是一个最基本的概念,我们必须把它弄清楚。 IPv4 地址就是给因特网(Internet)上的每一台主机(或路由器)的每一个接口分配一个在全世界范围内是唯一的 32 比特的标识符。 IP 地址由因特网名…

5.8 什么是学习博主?看两个博主案例【玩赚小红书】

先看大家看两个博主案例 ​ 学习博主,就是专门为用户提供学习方法的人。 学习方法在小红书的内容中属于干货价值,也就是用户们需要的东西,能为他们解决问题的内容,所以是比较受欢迎的,换言之,就是笔记数据…

Spark 3.0 - 15.ML PIC 快速迭代聚类理论与实战

目录 一.引言 二.PIC 理论 1.谱聚类 2.快速迭代聚类 三.PIC 实战 1.数据准备 2.构建 PIC 3.预测与展示 四.总结 一.引言 前面介绍了 K-means 聚类与高斯混合聚类,本文介绍另外一种聚类方法 Power Iteration Cluster 快速迭代聚类,简称 PIC。快…

【架构设计】你的类足够“专一”吗

前言 软件设计SOLID原则中有一个最基础的原则就是单一职责原则,我想绝大部分的程序员都知道,而且都理解它的意思,甚至觉得很简单。但是往往“看懂”和“会用”是两回事,而“用好”更是难上加难。好比我们项目,一开始一…

取代OpenFeign:Spring Framework 6全新声明式客户端@HttpExchange

本文已被https://yourbatman.cn收录;女娲Knife-Initializr工程可公开访问啦;程序员专用网盘https://wangpan.yourbatman.cn;技术专栏源代码大本营:https://github.com/yourbatman/tech-column-learning;公号后台回复“…

【几种可调动对象,Function和bind;线程的调动方式举例】

1.可调动对象的调动方式 方法 1、函数指针调动 方法2 、类类型的括号的重载 调动可调动对象 #include<iostream> #include<functional> using namespace std; struct Foo {void operator()(int x){cout<<"Foo operator "<<x<<endl;}…

CSS3【定位的基本使用[静态定位\相对定位\绝对定位]、子绝父相、固定定位、元素的层级关系】

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录一、定位1.1定位的基本介绍1.1.1 网页常见布局方式1.1.2 定位的常见应用场景1.2 定位的基本使用1.2.1 定位初体验1.2.2 使用定位的步骤1.2.3 静态定位1.2.4 小结1.2.…

使用 Docker Hub 完美地存储 Helm 图表实战

使用 Docker Hub 完美地存储 Helm 图表实战 Helm 是 Kubernetes 的包管理器。它是一个开源容器编排系统。它通过提供一种简单的方法来定义、安装和升级复杂的 Kubernetes 应用程序&#xff0c;帮助您管理 Kubernetes 应用程序。 使用 Helm&#xff0c;您可以将您的应用程序打包…

git教程

教程目录Git 教程Git 与 SVN 区别Git 与 SVN 区别点&#xff1a;Git 安装配置Linux 平台上安装Debian/UbuntuCentos/RedHatWindows 平台上安装Mac 平台上安装Git 配置用户信息文本编辑器##差异分析工具查看配置信息Git 工作流程Git 工作区、暂存区和版本库基本概念Git 创建仓库…

semargl 软件使用方法简介

文章目录前言一、semargl 软件使用简介1.semargl 软件简介2.准备演示软件操作所需的数据3.使用 semargl 获取频谱关系4.使用 semargl 获取特定频率模式的空间分布5.使用 semargl 获取自旋波的色散关系二、笔记05第三节内容的补充1.优化多进程读取磁化数据文件的代码2.新增获取特…

【JavaSE】 常用类(447~515)

String 447.常用类-每天一考 1.画图说明线程的生命周期&#xff0c;以及各状态切换使用到的方法等 状态&#xff0c;方法 2.同步代码块中涉及到同步监视器和共享数据&#xff0c;谈谈你对同步监视器和共享数据的理解&#xff0c;以及注意点。 synchronized(同步监视器){//操…

Python手势识别与追踪

程序示例精选 Python手势识别与追踪 如需安装运行环境或远程调试&#xff0c;见文章底部微信名片&#xff0c;由专业技术人员远程协助&#xff01; 前言 这篇博客针对<<Python手势识别与追踪>>编写代码&#xff0c;代码整洁&#xff0c;规则&#xff0c;易读。 应…