关注公众号网络研究观获取更多内容。

Active Directory (AD) 是组织 Windows 网络的核心，可默默协调用户访问、身份验证和安全性。

但您真的了解它的工作原理吗？本博客将揭开 AD 的层层面纱，揭示其核心组件以及它们如何实现集中控制。探索 AD 如何简化管理、增强安全性并确保无缝网络运行。

什么是 Active Directory？

Active Directory 是 Microsoft 为 Windows 域网络开发的一项服务。它为网络管理和安全性提供了一个集中位置，并且存在于大多数 Windows Server 操作系统中。

AD 管理用户授权和身份验证，使网络管理员能够集中控制用户、PC、打印机和其他设备。

AD 可以看作是包含各种信息（例如计算机、用户、打印机和其他设备）的电话簿。Active Directory 允许用户使用单一凭据在整个网络中进行身份验证。

• AD 的组成部分
  • Domains：
    • AD 内组织的基本单位。
    • 域包含共享一个公共数据库的对象集合（例如用户、计算机和组）。
    • 每个域都有自己的安全策略和身份验证机制。
  • Trees ：
    • 按分层结构分组在一起的一个或多个域的集合。
    • 树内的域共享连续的命名空间（例如，example.com、sub.example.com）。
  • Forests：
    • AD 中最顶层的逻辑容器。
    • 一个林可以包含多个域树。
    • 林中的域共享一个公共模式和全局目录，但可能没有连续的命名空间。
  • 组织单位 (OU)：
    • 用于组织域内的对象（用户、组、计算机）的容器。
    • OU 通过对相关对象进行逻辑分组来帮助管理和委派管理任务。
  • 组策略对象 (GPO)：
    • 用于定义和强制执行用户和计算机的设置（策略）的工具。
    • GPO 可以链接到域、OU 和站点，以控制整个网络的安全性、软件安装和其他配置。

• 关键术语
  • 用户：这些是为需要访问网络的人创建的个人帐户。每个用户帐户都有一个唯一的用户名和密码，用于身份验证和授权。
  • 组：组是用户帐户、计算机帐户或其他组的集合。它们允许集体应用权限和策略，而不是单独应用，从而简化管理。
  • 计算机：这些代表网络内的物理或虚拟机。计算机帐户用于管理和验证作为域一部分的机器。
  • 信任：信任是不同域之间建立的关系，允许一个域中的用户访问另一个域中的资源。信任可以是单向的，也可以是双向的，有助于网络不同部分之间的资源共享和协作。
• AD 安全的重要性
  • 中央控制点： Active Directory (AD) 是管理用户访问、身份验证和权限的中央枢纽。如果受到攻击，攻击者可以控制整个网络。
  • 数据保护： AD 存储有关用户、计算机和设备的敏感信息。加强 AD 安全性对于保护这些关键数据免遭未经授权的访问和泄露至关重要。
  • 缓解攻击： AD 是网络攻击的常见目标，包括网络钓鱼、勒索软件和内部威胁。增强AD 安全性有助于防止这些攻击并降低成功入侵的风险。

Active Directory 攻击

活动目录攻击分为下面三个不同的阶段。

1. AD 上的初始攻击媒介。
2. 入侵后枚举
3. 入侵后攻击。

1. AD 的初始攻击向量

假设我们通过访问组织内的 Windows 计算机在 Active Directory (AD) 环境中建立了立足点。

以下绕过和攻击是一些初始步骤，我们可以采取这些步骤进一步绕过允许我们在 AD 环境中执行恶意脚本的安全机制。

• 绕过
  • AMSI 绕过
  • DLP 绕过
  • Powershell 攻击 – 降级、策略绕过
  • AV 和监控绕过
• 攻击
  • LLMNR 中毒 
  • 捕获 NTLMv2 哈希 
  • 破解哈希 
  • SMB 中继攻击
  • LDAP 中继攻击 
  • IPv6 MiTM 攻击 
  • 枚举用户名的 Kerberos 
  • 使用 rpclient 枚举用户名
  • AS-Rep Roasting 
  • 枚举 SMB 共享 

2. 入侵后枚举

现在我们已经获得了访问权限并收集了初始攻击的数据，是时候对 Active Directory (AD) 环境进行枚举了。此过程涉及收集其他信息以更好地了解 AD 结构并识别潜在的漏洞或攻击路径。让我们探索枚举的步骤：

• Powerview 枚举：利用强大的 PowerShell 脚本 Powerview 来查询 AD 对象、发现组成员身份并发现潜在的攻击媒介。
• BloodHound/SharpHound 枚举： BloodHound 是一种可视化工具，它依赖于 SharpHound 收集的数据。SharpHound 收集有关用户、组、ACL 等的信息。分析这些数据有助于识别特权提升机会。
• 使用服务器管理器进行枚举：考虑使用服务器管理器（在 Windows Server 上可用）来探索与 AD 相关的组件，例如域控制器、DNS 服务器和组策略。 

3. 入侵后攻击

我们已经收集了必要的数据，让我们讨论一下针对 Active Directory (AD) 环境中其他系统和组件的一些有针对性的攻击策略：

1. 使用 Mimikatz 转储哈希： Mimikatz 是一种开源黑客工具，可从受感染的 Windows 计算机中提取凭据信息。它突出显示 Microsoft 身份验证协议中的漏洞，例如 Windows 新技术 LAN 管理器 (NTLM)。随着时间的推移，Mimikatz 已成为渗透测试和红队参与的标准工具。
   1. 从内存或磁盘密码存储中提取凭证数据（包括纯文本密码、密码、Kerberos 票证和 NTLM 密码哈希）。
   2. 通过使用窃取的凭证（例如，创建黄金票或使用传递哈希技术）向本地网络内的其他机器进行身份验证，执行横向移动。
2. ACL 枚举：访问控制列表 (ACL) 控制对用户帐户、组和组织单位等对象的访问。每个对象都有一个包含其 ACL 的安全描述符，其中概述了自主访问控制列表 (DACL) 授予的权限。DACL 指定谁可以对对象执行操作。

   这些信息可帮助攻击者提升权限、保持持久性或进一步利用受​​感染的环境。

3. 传递哈希/密码：传递哈希是一种攻击技术，攻击者使用哈希密码向远程服务器或服务进行身份验证，而无需知道实际的明文密码。这可以让攻击者在网络内横向移动并获得更高级别的访问权限。

   如果攻击者可以获得散列密码，他们就可以使用它来访问其他系统并提升他们的权限，而无需破解散列。

4. 敏感文件转储：攻击者经常试图提取敏感文件，以便为进一步利用提供有价值的信息。主要目标包括 unattend.xml、SYSVOL 目录中的文件、SAM 和 SYSTEM 文件以及 NTDS.dit 文件
   1. unattend.xml：此文件包含 Windows 安装期间使用的配置设置。攻击者可能会提取它来发现系统详细信息，例如域名、用户名和密码。
   2. SYSVOL 目录文件：SYSVOL 目录存储组策略对象和脚本。攻击者可能会在此目录中寻找敏感文件，例如登录脚本或组策略首选项，这些文件可能会泄露凭据或其他关键信息。
   3. SAM 和 SYSTEM 文件：安全帐户管理器 (SAM) 数据库存储本地用户帐户信息，包括密码哈希值。SYSTEM 文件包含系统特定数据。通过提取这些文件，攻击者可以尝试离线密码破解或传递哈希攻击。
   4. NTDS.dit 文件：NTDS.dit 文件是 Active Directory (AD) 的一部分，包含用户帐户信息，包括密码哈希。提取此文件允许攻击者对 AD 帐户进行离线攻击。
5. TGT 收集：TGT 收集是指从内存或网络流量中提取票证授予票证 (TGT) 的过程。通过这样做，攻击者无需用户密码即可访问网络资源。本质上，这是一种利用身份验证机制的技术。
6. 使用 mimikatz 传递票证：传递票证是一种攻击技术，攻击者使用窃取的 Kerberos 票证（TGT 或服务票证）对网络内的服务进行身份验证。这可以让攻击者横向移动并提升其权限。

   Kerberos 票证可以授予对网络内各种资源的访问权限。如果攻击者获得票证，他们可以冒充票证持有者并访问敏感数据和系统。

7. Golden/Silver Ticket 攻击：Kerberos 是 Active Directory (AD) 环境中常用的一种身份验证协议，用于验证用户身份。该过程涉及密钥分发中心 (KDC) 签发票证，其中包括票证授予票证 (TGT) 和服务票证 (TGS)。
   1. Golden Ticket：攻击者可以通过获取 KRBTGT 帐户哈希的访问权限来创建伪造的 TGT。借助黄金票证，攻击者可以无限期地访问域内的任何服务，从而绕过正常的身份验证。
   2. Silver Ticket：同样，攻击者可以通过访问服务帐户的哈希来创建伪造的 TGS。银票无需有效的 TGT 即可提供对特定服务的访问权限。
8. Kerberoasting：Kerberoasting 是一种利用 AD 中的 Kerberos 身份验证协议的攻击技术。攻击者为服务账户请求服务票证，然后尝试离线破解票证以获取明文密码。

   服务账户通常具有较高的权限。如果攻击者成功破解票据，他们就可以访问关键系统和数据。

9. 万能钥匙：Skeleton Key 万能钥匙是一种恶意软件，可渗透到域控制器 (DC) 的内存中。它会改变身份验证过程，以接受“主”密码和合法用户密码。因此，攻击者可以使用主密码以任何用户身份登录，从而有效地绕过正常的身份验证机制。
10. DCsync 攻击： DCsync 是一种攻击类型，攻击者使用目录复制服务远程协议 (MS-DRSR) 模仿域控制器的行为。通过这样做，攻击者可以从其他域控制器请求复制用户帐户凭据，包括密码哈希。
11. 中间人 (MITM) 攻击：当攻击者拦截并可能改变认为双方正在直接通信的双方之间的通信时，就会发生 MITM 攻击。这可能会危及敏感的 AD 通信，例如身份验证过程和数据交换。

最后的话

由于组织继续依赖 Active Directory 来管理网络资源和用户访问，因此彻底掌握其功能和安全注意事项是必不可少的。警惕管理和持续改进 AD 安全实践将有助于防范新出现的威胁并维护安全的网络基础设施。采取主动的方法，确保您的 AD 环境保持安全和正常运行。