基于AD Event日志监测AdminSDHolder

2023-02-08 5,286

01、简介

AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制AdminSDHolder,那么它就能同时控制域内的许多组,这可以作为域内权限维持的方法。

基于AD Event日志监测AdminSDHolder对象ACL的修改行为,从而发现可疑的修复AdminSDHolder对象行为。

02、利用方式

(1)AdminSDHolder对象添加ACL

使用PowerView,下载地址如下:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

添加用户bypass对AdminSDHolder的完全访问权限,命令如下:

Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName bypass -Verbose -Rights All

(2)执行SDProp

默认情况下,SDProp进程每60分钟在域控制器上运行一次,SDProp将域的AdminSDHolder对象的权限与域中受保护的帐户和组的权限进行比较,如果任何受保护帐户和组的权限与AdminSDHolder对象的权限不匹配,则将受保护帐户和组的权限重置为与域的AdminSDHolder对象的权限匹配。

配置完成后ACL 中的更改将在 60 分钟后自动传播,可通过更改注册表的方式设置SDProp 的时间间隔,该值的范围是从60到7200,单位为秒,键类型为DWORD可以直接使用命令行更改:

reg add hklmSYSTEMCurrentControlSetServicesNTDSParameters /v AdminSDProtectFrequency /t REG_DWORD /d 60

 (3)登录bypass用户,可疑看到bypass非域管用户,却可以将自己添加到“域管理员”组。

03、攻击检测

攻击手法的核心点在于需要修改AdminSDHolder的ACL,因此我们只需要检测对AdminSDHolder的ACL的修改行为即可,可以通过5136日志来监控。

5136事件:每次修改 Active Directory 对象时,都会生成此事件,包含帐户名称、目录服务对象名称、操作类型。

安全规则:

本文作者:Bypass007

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/195575.html

Tags:
评论  (0)
快来写下你的想法吧!

Bypass007

文章数:94 积分: 218

一个网络安全爱好者,对技术有着偏执狂一样的追求。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号