基于AD Event日志识别DCShadow攻击

VSole2022-10-08 07:56:28

01、简介

DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。

DCSync&DCShadow区别在于,DCSync是从域服务器将数据复制出来,而DCShadow是将伪造的数据复制到域服务器。

02、攻击过程示例

假设我们已经拿到了某台服务器SYSTEM权限,并从沦陷的服务器中获取到了域管理员的账号密码。

第一步:使用system权限更改数据

在获取到system权限后,尝试更改域用户test的属性描述。

lsadump::dcshadow /object:CN=test,CN=Users,DC=evil,DC=com /attribute:description /value:test


第二步:使用域管理权限执行域数据同步

切换到域管理员权限,使用mimikatz进行域数据同步。

mimikatz.exe "lsadump::dcshadow  /push"  exit

第三步:在AD域控,我们看到了test用户描述已经被修改。

重复以上步骤,我们可以使用下面的方法,修改组id从而将用户改为域管:

lsadump::dcshadow /object:CN=test,CN=Users,DC=evil,DC=com /attribute:primarygroupid  /value:512

03、 DCShadow攻击检测

在域控组策略中开启审核策略,审核目录服务访问(成功和失败),来记录所有的目录服务访问事件。

在Windows安全日志,EventCode:4929,可以看到源地址:WIN-CIFJV1AK3T6.evil.com发起详细的目录服务复制事件,排除生产域控服务器的主机列表,很容易可以辨别出伪造的域控服务器。

我们可以根据AD Event日志提取关键特征,通过监视源地址字段,从而可以实时监测DCShadow攻击。

dc
本作品采用《CC 协议》,转载必须注明作者和本文链接
本文对如何利用 DCOM 进行横向移动的手法进行了总结,希望可以对大家的学习提供一些帮助。
DC-3靶场实战详解
2023-02-15 10:42:44
雷神众测-杭州亚运会官方指定安全众测服务平台
九种DC靶机渗透测试
2023-01-07 11:14:37
点击上方蓝字 关注安全知识DC-1靶机测试1.DC-1靶机安装安装进去后,修改网络设置为nat模式2.靶机
靶场攻略 | vulhub_DC6
2022-11-14 10:30:50
DC-6是一个易受攻击的实验环境,最终目的是让入侵者获得root权限,并读取flag。通过tweet可以联系到作者@DCAU7。DC_6使用的操作系统为Debian 64位,可以在VirtualBox、VMware上直接运行。ssh成功进行了登录,此时登录用户为graham。发现能够以jens用户,不使用口令执行情况下执行backups.sh。打开文件backups.sh为一个文件减压的命令行,可将减压指令删除,换成/bin/bash 以jens用户去执行操作。
DCMM快问快答
2022-05-06 14:25:14
DCMM评估以整个企业为对象,面向企业整体进行评估,一般由数据管理归口部门牵头,其他部门配合开展工作。目前中国电子信息行业联合会发布了12家评估机构,持续增强市场服务能力和评估工作的活力。目前中国信通院DCMM评估团队统一以“南京新一代人工智能研究院有限公司”对外提供DCMM评估服务,通过联系南京新一代人工智能研究院有限公司、中国信息通信研究院、泰尔认证中心有限公司均可到联系到评估服务团队。
导出域内所有用户的信息。该工具的原理是首先使用提供的用户登录凭据通过 smbexec 或者 wmiexec 远程连接至域控制器并获得高权限,进而从注册表中导出本地帐户的哈希,同时通过 Dcsync 或从 NTDS.dit 文件中导出所有域用户的哈希。
Dcsync在域环境中,不同域控制器之间,每 15 分钟都会有一次域数据的同步。如果需要同步的数据比较多,则会重复上述过程。
DCOM在渗透中的利用
2021-09-18 07:05:34
COM 是 Windows 的一个组件,可促进软件之间的互操作性,DCOM 使用远程过程调用 (RPC) 将其扩展到整个网络。
分布式组件对象模型(DCOM)远程协议是一种通过远程调用(RPC)公开应用程序对象的协议。
VSole
网络安全专家