01、简介

当攻击者获得内网某台域内服务器的权限，就会以此为起始攻击点，尽可能地去收集域的信息，以获取域控权限作为内网的终极目标。例如，攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息，通过定位域管理员以找到最佳攻击路径，从而拿到域管理员权限。

针对域内信息探测的行为，是攻击者入侵的前兆，基于AD Event日志检测攻击者的信息探测行为，就可以预先给安全管理员发出告警，帮助安全管理员找到网络中存在的安全弱点。

02、域内敏感用户组探测

（1）查询域管理员用户

net group "Domain Admins" /domain

（2）日志分析：当用户查询管理员组时，会出现4次4661事件，其中两次4661事件的对象类型是SAM_DOMAIN，另外两次的对象类型是SAM_GROUP。4661事件：记录了域用户test访问了SAM_GROUP组的SID，对应的组名就是 Domain Admins，这个就可以作为关键特征。

（3）检测策略：监测4661事件，找到访问SAM_GROUP组的SID的用户，并关联到事件4624，找到用户对应的登录IP。如下图：用户test通过192.168.28.20 查询了 domain admins域管理员组信息。

检测示例：

02、域内敏感用户信息探测

（1）获取指定域用户的详细信息

net user bypass /domain

（2）日志分析：当用户获取指定域用户的详细信息时，会出现多次4661事件，对象类型是SAM_USER，SID对应的是帐户的SID，通过日志记录可以看到用户test查看了域用户bypass成员的详细信息。

（3）检测策略：监测4661事件，找到访问SAM_USER组的SID的用户，可以进一步关联test的登录IP以及SID对应的用户名。如下图：用户test在192.168.28.20 查看了域管理员bypass用户的详细信息。

检测示例：

04、定位域管理员

（1）使用BloodHound分析域的攻击路径

BloodHound是一款域渗透分析工具，可以使用BloodHound识别高度复杂的域攻击路径，只需要在服务器上运行SharpHound.exe，就可以收集域内信息。

日志分析：在使用SharpHound收集信息过程中，产生多条5145的事件，服务端的特征重点关注访问的相对名称包含srvsvc、wkssvc、winreg、samr等，对应的事件还记录了请求的用户帐户test，源地址：192.168.28.20。

（2）PVEFindADUser

可用于查找用户登录的服务器，为攻击者提供域管理员所在的位置，为下一步攻击提供必要的信息。

日志分析：在使用PVEFindADUser收集信息过程中，产生两条5145的事件，访问的相对名称都是 winreg。

（3）PsLoggedOn

PsLoggedOn可以查看本地登陆的用户和通过本地计算机或远程计算机资源登陆的用户。

日志分析：在使用PsLoggedOn收集信息过程中，产生多条5145的事件，访问的相对名称包括 winreg、lsarpc、srvsvc。

（4）检测策略：监测5145事件，重点关注访问相对名称包含srvsvc,wkssvc,winreg,samr,lsarpc的事件，识别出可能的探测行为。

检测示例：