在过去十年左右的时间里,Active Directory 一直是安全研究人员关注的主要领域。从 2014 年开始,我们开始看到许多工具和大量研究出现,甚至发现了至今仍在使用的常见攻击和技术。以下是事件时间表,重点介绍了令人难以置信的研究人员发现的一些最具影响力的攻击和缺陷,以及渗透测试人员迄今为止发布的一些最广泛使用的工具。
尽管多年来已经发现了许多技术,但 AD(以及现在的 Azure AD)仍然呈现出巨大的攻击面,并且仍在发现新的攻击。渗透测试人员和防御者都必须牢牢掌握的新工具不断涌现,以帮助组织完成保护 AD 环境的艰巨但关键的任务。
这绝不是多年来发布的所有优秀研究和工具的完整列表,但这是过去十年中许多最重要的研究和工具的快照。此时间表中列出的研究人员(以及许多其他人)的辛勤工作收获了显着的发现和工具的发明,这些工具可以帮助渗透测试人员和防御者深入挖掘 Active Directory 环境。有了它们,就更容易在攻击者之前发现明显和模糊的高风险缺陷。
AD Attacks & Tools Timeline
2021
PrintNightmare 漏洞。这是 Windows Print Spooler 中的一个远程代码执行缺陷,可用于接管 AD 环境中的主机。
Shadow Credentials 攻击,允许低权限用户在条件合适的情况下冒充其他用户和计算机帐户,并可用于提升域中的权限。
noPac 攻击于 2021 年 12 月中旬发布,当时大部分安全领域都在关注 Log4j 漏洞。如果存在正确的条件,这种攻击允许攻击者从标准域用户帐户获得对域的完全控制。
2020
ZeroLogon 攻击于 2020 年底首次亮相。这是一个严重漏洞,允许攻击者冒充网络中任何未打补丁的域控制器。
2019
harmj0y 在 DerbyCon 上发表了“Kerberoasting Revisited”的演讲,阐述了 Kerberoasting 的新方法。
Elad Shamir 发布了一篇博文blog post,概述了在 Active Directory 中滥用基于资源的约束委派 (RBCD) 的技术。
BC Security 公司发布了 Empire 3.0(现为第 4 版),它是用 Python3 编写的 PowerShell Empire 框架的重新发布,并进行了许多添加和更改。
2018
Lee Christensen 发现了“Printer Bug”错误,并发布了SpoolSample 工具,该工具利用此错误强制 Windows 主机通过 MS-RPRN RPC 接口对其他机器进行身份验证。
harmj0y 发布了用于攻击 Kerberos 的 Rubeus toolkit 工具包。 2018 年末,harmj0y 还发布了博客“Not A Security Boundary: Breaking Forest Trusts”,其中介绍了有关跨森林信任执行攻击的关键研究。
DCShadow 攻击技术也是由 Vincent LE TOUX 和 Benjamin Delpy 在 Bluehat IL 2018 大会上发布的。
Ping Castle 工具由 Vincent LE TOUX 发布,用于通过查找可能提高域风险级别的错误配置和其他缺陷并生成可用于确定进一步强化环境的方法的报告来执行 Active Directory 的安全审计工具。
2017
发现ASREPRoast技术来攻击不需要 Kerberos 预身份验证的用户帐户。
_wald0 和harmj0y 在 Black Hat 和 DEF CON 上发表了关于 Active Directory ACL 攻击“ACE Up the Sleeve”的关键演讲。
harmj0y 发布了关于枚举和攻击域信任的“A Guide to Attacking Domain Trusts”博客文章。
2016
BloodHound 在DEF CON 24 上发布,开创了可视化AD攻击的道路。
2015
2015 年发布了一些有史以来最具影响力的 Active Directory 工具
PowerShell Empire framework发布
PowerView 2.0 作为(现已弃用)PowerTools 仓库的一部分发布,该仓库是 PowerShellEmpire GitHub 帐户的一部分。
DCSync 攻击最初由 Benjamin Delpy 和 Vincent Le Toux 作为 mimikatz工具的一部分发布。此后,它已包含在其他工具中。
发布了CrackMapExec (v1.0.0)的第一个稳定版本。
Sean Metcalf 在美国黑帽大会上就 “Kerberos 无约束委派的危险”发表了演讲,并就该主题发表了一篇出色的博客文章blog post。
Impacket 工具包也于 2015 年发布。这是 Python 工具的集合,其中许多工具可用于执行 Active Directory 攻击。截至 2022 年 1 月,它仍在积极维护中,并且是大多数渗透测试人员工具包的关键部分。
2014
Veil-PowerView 首次发布released。该项目后来成为 PowerSploit框架的一部分(不再支持)
PowerView.ps1 AD 侦察工具。 Kerberoasting 攻击最初是在 2014 年 SANS Hackfest 的Tim Medin在会议上提出的。
2013
Responder 工具由 Laurent Gaffie 发布。Responder 是一种用于在 Active Directory 网络中毒化 LLMNR、NBT-NS 和 MDNS 的工具。它可用于获取密码哈希并执行 SMB 重放攻击(与其他工具结合使用时)以在 AD 环境中横向和纵向移动。多年来,它已经有了长足的发展,截至 2022 年 1 月,它仍然受到积极支持(添加了新功能)。