基于AD Event日志实时检测DSRM后门
01、简介
(资料图片)
每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目的。
域内权限维持的方式有很多,每增加一条安全检测规则,就多一层安全保障。针对DSRM后门,基于AD Event日志能够帮助我们提供什么维度的检测,我们通过一个后门利用实例来看一下。
02、利用方式
(1)获取域内用户Hash
使用mimikatz查看域内用户test的NTLM Hash。
mimikatz # privilege::debugmimikatz # lsadump::lsa /patch /name:test
(2)将DSRM帐户和域用户的NTLM Hash同步
使用DSRM的密码和指定域用户test的密码进行同步,在命令行环境中使用ntdsutil工具重置DSRM管理员密码。
(3)抓取DSRM密码
因同步域内用户test的NTLM Hash,可以发现,DSRM Hash 和域用户test的NTLM Hash一致。
mimikatz#privilege::debugmimikatz # token::elevatemimikatz # lsadump::sam
(4)修改DSRM登录方式
DSRM 有三种登录方式,具体如下:
0:默认值,只有当域控制器重启并进入 DSRM 模式时,才可以使用 DSRM 管理员账号1:只有当本地 AD、DS 服务停止时,才可以使用 DSRM 管理员账号登录域控制器2:在任何情况下,都可以使用 DSRM 管理员账号登录域控制器
如果要使用 DSRM 账号通过网络登录域控制器,需要将该值设置为 2。
修改注册表:
reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2
(5)使用DSRM远程登录
在域成员服务器上使用DSRM进行远程登录,注意domain使用域控的主机名。
mimikatz # privilege::debugmimikatz # sekurlsa::pth /user:administrator /domain:win-dc01 /ntlm:44f077e27f6fef69e7bd834c7242b040
03、攻击检测
当攻击者尝试重置DSRM管理员密码或是指定域内用户NTLM Hash同步时,都会生成4769事件,因此可以实时监控4794事件,一旦攻击者尝试修改DSRM密码就会触发告警。
4794事件:每次更改目录还原模式(DSRM)管理员密码时,就会生成此事件,包含SID和帐户名,以及调用方工作站。
安全规则:
index=ad EventCode=4794 | stats count earliest(_time) AS start_time latest(_time) AS end_time by dest user| eval start_time=strftime(start_time,"%Y-%m-%d %H:%M:%S")| eval end_time=strftime(end_time,"%Y-%m-%d %H:%M:%S") | eval message="在"+start_time+"到"+end_time+"时间内,域控服务器:"+dest +" 疑似DSRM域后门行为,试图设置目录服务还原模式管理员密码"+count+"次,操作账号:"+user| table start_time end_time user message
安全告警效果如下图:
为您推荐
广告
随机阅读
- 年近50岁书记出轨36岁已婚女子,两人多次开房,被网络实名举报!
- 闻汛而动!暴雨中广州警方驰援解救受困群众
- 博文管理学院官网 博文管理
- 郑钦文美网第四轮比赛什么时候打
- 周五美联储隔夜逆回购协议(RRP)使用规模为1.525万亿美元
- 不为人知下一句是什么(不为人知为己知什么意思)
- 复旦微电:上海晔莘控制的公司具有表决权的股份比例增加6.56%
- 上海哪个医院看尖锐湿疣好
- 内蒙古鄂尔多斯通报高压气体泄漏事故最新情况:已成立调查组彻查事故原因
- 8月乘用车零售量为192万辆
- 外交部发言人就美方在东亚峰会上无理指责中方答记者问
- IPO参考:第四范式通过港交所聆讯 拓邦新能、津同仁堂审核终止
- 还有3天!黄石网络安全宣传盛宴即将“开席”
- 瑞丰银行:董事长章伟东辞任 选举吴智晖为董事长
- 准备就绪!杭州亚运会边检专用通道明起正式启用
- 今日宁波学车多少钱呀(宁波学车要多少钱)
- 我国明年将发射2艘“神舟”和2艘“天舟”
- 直播推荐化妆品“专研抗老” 北京婼薇乐护肤品公司被罚20万
- A股VR音视频板块上市公司有哪些?(2023/9/1)
- 全国技能大赛 漯河医专再传捷报
- 1记者:帕尔默体检没问题,切尔西将在明天官宣他加盟
- 2插到里面下面图片
- 3投教大讲堂|杨德龙谈价值投资:如何选择值得一生拥有的好企业?
- 4旅游搭子“费用全包”涉黄?小红书回应
- 5白衣观音神咒的威力和作用(白衣观音神咒全文)
- 6商务部:近期将陆续出台促进新能源汽车贸易合作等专项政策措施
- 7山东郓城:一碗粥情满一座城
- 8广东中山官宣:即日起施行“认房不认贷”政策
- 9今年前七个月物流运行平稳 结构优化明显
- 10中国银河给予立高食品推荐评级,大B端生意彰显弹性
- 1中国一汽物流有限公司王少民被查
- 2合肥空港保税物流中心外贸增长超五成
- 3严重或危及生命!亚洲多国流行登革热,海关紧急提醒
- 4圣诺医药-B(02257.HK):戴晓畅获调任为集团首席战略官
- 5datagridview绑定list(datagridview绑定的是类的名字 如何处理)
- 6多次被行政处罚,上半年净利润却暴增271%,温州银行究竟靠的什么?
- 7一汽解放上半年研发投入12.48亿元 加速新能源、智能车全面布局
- 8数读 | 长城汽车上半营收近700亿元,平均单车售价达13.61万元
- 9第18届中国国际山地户外运动公开赛(重庆·武隆)暨公开赛20周年庆典系列活动将于9月7日至11日在武隆举行
- 10汇洲智能:中科华世的图书库房位于涿州市,部分图书遭受损失。目前公司各项生产经营活动均正常有序进行
广告
财经
- 【关注】遵义市260名大学生获得“习酒·我的大学”奖学金
- 沈阳燕都医院是正规医院吗?是骗人的吗?
- 谢长廷“媚日”过头,沈富雄:听了很难过
- 2023厦门(思明)音乐季落幕 助力打造“文化中心、艺术之城、音乐之岛”
- 入职体检在线预约 员工入职体检项目
- 暑假,那些关于夏天的美好记忆
- 时政纪录片丨大道众行远 携手启新程——习近平主席出席金砖国家领导人第十五次会晤并对南非进行国事访问纪实
- 今日相见不如不见的短语(相见不如不见是什么意思)
- 汤普森想和字母哥打球!
- 更济宁|原创MV《尼好戏剧 你好济宁》
- 图解世荣兆业中报:第二季度单季净利润同比增100.91%
- 航发动力2023年上半年净利7.25亿 同比增加11.32%
- 对公共政策效果进行评估时所遵循的客观尺寸和准则是_对公共政策效果进行评估时所遵循的客观尺度和准则是什么
- 即将进入24小时警戒线!强降雨持续,浙江这些地方灾害风险较高
- 2023成都车展|旗舰豪华轿车捷尼赛思G90上市,以传奇之姿,释至臻之境
- “2023年全球乳业20强”榜单发布 伊利居全球乳业五强
- 国金证券:给予洋河股份买入评级
- 广东6市市级国土空间总体规划获批
- 政策利好推动股指期货集体收涨
- 美股“七姊妹”热度不减!对冲基金对其持有敞口创新高