首页 > 其他分享 >基于AD Event日志监测域内信息探测行为

基于AD Event日志监测域内信息探测行为

时间:2022-12-26 09:12:58浏览次数:53  
标签:AD SAM 用户 管理员 事件 SID 日志 Event

01、简介

当攻击者获得内网某台域内服务器的权限,就会以此为起始攻击点,尽可能地去收集域的信息,以获取域控权限作为内网的终极目标。例如,攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息,通过定位域管理员以找到最佳攻击路径,从而拿到域管理员权限。

针对域内信息探测的行为,是攻击者入侵的前兆,基于AD Event日志检测攻击者的信息探测行为,就可以预先给安全管理员发出告警,帮助安全管理员找到网络中存在的安全弱点。

02、域内敏感用户组探测

(1)查询域管理员用户

net group "Domain Admins" /domain

(2)日志分析:当用户查询管理员组时,会出现4次4661事件,其中两次4661事件的对象类型是SAM_DOMAIN,另外两次的对象类型是SAM_GROUP。4661事件:记录了域用户test访问了SAM_GROUP组的SID,对应的组名就是 Domain Admins,这个就可以作为关键特征。

(3)检测策略:监测4661事件,找到访问SAM_GROUP组的SID的用户,并关联到事件4624,找到用户对应的登录IP。如下图:用户test通过192.168.28.20 查询了 domain admins域管理员组信息。

检测示例:

02、域内敏感用户信息探测

(1)获取指定域用户的详细信息

net user bypass /domain

(2)日志分析:当用户获取指定域用户的详细信息时,会出现多次4661事件,对象类型是SAM_USER,SID对应的是帐户的SID,通过日志记录可以看到用户test查看了域用户bypass成员的详细信息。

(3)检测策略:监测4661事件,找到访问SAM_USER组的SID的用户,可以进一步关联test的登录IP以及SID对应的用户名。如下图:用户test在192.168.28.20 查看了域管理员bypass用户的详细信息。

检测示例:

04、定位域管理员

(1)使用BloodHound分析域的攻击路径

BloodHound是一款域渗透分析工具,可以使用BloodHound识别高度复杂的域攻击路径,只需要在服务器上运行SharpHound.exe,就可以收集域内信息。

日志分析:在使用SharpHound收集信息过程中,产生多条5145的事件,服务端的特征重点关注访问的相对名称包含srvsvc、wkssvc、winreg、samr等,对应的事件还记录了请求的用户帐户test,源地址:192.168.28.20。

(2)PVEFindADUser

可用于查找用户登录的服务器,为攻击者提供域管理员所在的位置,为下一步攻击提供必要的信息。

日志分析:在使用PVEFindADUser收集信息过程中,产生两条5145的事件,访问的相对名称都是 winreg。

(3)PsLoggedOn

PsLoggedOn可以查看本地登陆的用户和通过本地计算机或远程计算机资源登陆的用户。

日志分析:在使用PsLoggedOn收集信息过程中,产生多条5145的事件,访问的相对名称包括 winreg、lsarpc、srvsvc。

(4)检测策略:监测5145事件,重点关注访问相对名称包含srvsvc,wkssvc,winreg,samr,lsarpc的事件,识别出可能的探测行为。

检测示例:

 

标签:AD,SAM,用户,管理员,事件,SID,日志,Event
From: https://www.cnblogs.com/xiaozi/p/17003263.html

相关文章

  • 原子操作增强类LongAdder
    一.性能对比阿里开发手册推荐jdk8使用LongAdder替代AtomicLong    示例代码题目:热点商品点赞计算器,点赞数加加统计,不要求实时精确。50个线程,每......
  • LongAdder详解以及底层原理分析
    一、原子累加器我们都知道,原子整型可以在线程安全的前提下做到累加功能,而今天介绍的LongAdder具有更好的性能我们先来看原子累加器和原子整型做累加的对比使用:priva......
  • LongAdder类实现原理、源码解析
    1.概述AtomicLong通过循环CAS实现原子操作,缺点是当高并发下竞争比较激烈的时候,会出现大量的CAS失败,导致循环CAS次数大大增加,这种自旋是要消耗时间cpu时间片的,......
  • Cf1625C Road Optimization
    Cf1625CRoadOptimization题意:在一条长为\(1\)的公路上有\(n\)个路标,第\(i\)个路标在第\(d_i\)米处,限速\(a_i\),意味着在这个路标到下一个路标之间的路段最快......
  • Codeforces 983 D Arkady and Rectangles 题解
    题目链接挺有意思的数据结构题,题面看着像个板子,其实还是有不少学问的。平面上一堆矩形的题目常见套路就是对\(x\)轴扫描线,\(y\)轴线段树维护,这题也不例外。我们先对坐标......
  • 来看看几种 Monad
    来看看几种Monad当我们第一次谈到Functor的时候,我们了解到他是一个抽象概念,代表是一种可以被mapover的值。然后我们再将其概念提升到ApplicativeFunctor,他代表一种......
  • Multi-paradigm (1)
    Multi-paradigm:1.面向对象编程(Object-oriented),提高软件的重用性、灵活性和扩展性;2.函数式编程(Functional),以数学函数为编程语言建模的核心的编程范式;3.泛型编程,......
  • stm32cubeIDE,双通道ADC+DMA配置
    双通道配置ADC_IN1和ADC_IN3        写下开始函数可用adc采集      ......
  • over_lap_and_add
    colab版本fromkeras.layers.normalization.batch_normalization_v1importBatchNormalization本地版fromkeras.layers.normalization.batch_normalization_v1import......
  • QT实现异步日志
    #include<QCoreApplication>#include<QDateTime>#include<QDir>#include<QFile>#include<QProcess>#include<QTextStream>#include<QTimer>#defineROLLSIZE1000*......