我最近看到一条推特这条推上說可以通过创建带有密码但是不可登录的AD帐户来做蜜罐防御。我再也找不到那条推特了所以文章这里也就没有写引用地址了。
这个想法昰当有人确实入侵到了你的网络当中时,他们要做的第一件事情往往是从活动目录(Active Directory)收集信息在这一步中,他们会偶然的发现一个名为“helpdeskda”的账户然后也获取到了该ad账号是什么的密码!看来这是一场轻松的胜利,也是一次关键的发现为了弄清楚如何利用这个新发现的鼡户获取更多信息,攻击者试图使用RDP或psexec进行进一步的内网渗透而在他们这样做时,AD会校验并且告知攻击者在这段时间内该帐户无法被登 錄同时,此登录尝试也会触发警报并引起调查
我个人比较喜欢那种不会引起警报并且能够在已被控的设备上完美运行的工具,接下来峩进行了一番测试
1、创建一个ADad账号是什么并且添加到域管理员组中。
2、设置一个较为可信的用户描述或设置一个看上去正常点的密码鉯便迷惑攻击者。
3、在Account中设置该账户登录时间为:拒绝登录24×7
有两组策略选项需要启用才能正常运作
1、编辑默认域策略如下
2、将“计算機配置>策略> Windows设置>安全设置>高级审计策略配置>审核策略>帐户登录>审核Kerberos身份验证服务”设置成“审计失败事件”。
现在的事件查看器如下所示
這里是更详细的XML视图这对于我们在任务调度器中编写事件触发器很重要。 记下事件ID正常的登录失败事件ID为4625。但是由于我们将登录时間配置成拒绝,所以这不再是一个传统的登录失败事件它的事件ID为4768,这表明有人申请了Kerberos身份验证票据但因为各种原因失败了
由于事件記录的方式,配置任务调度器时需要花一些时间由于它不是传统的事件ID为4625的登录失败事件,因此基于用户的事件触发器是不起作用的峩需要编写一个自定义的XML触发器规则来捕获该用户名。
1、打开任务调度器并创建一个新的任务给新任务取一个名字,并确保选择“无论鼡户是否登录都运行”
2、移至触发器选项卡并编辑触发器
3、选择新的事件筛选器,然后选择XML选项卡手动修改成你对应的用户和域。由於我们不知道攻击者将使用什么用户名格式因此我们需要一些或(OR)语句。 通常我们可以使用SID,但在事件4678中它不会被记录。您还可以更精确的匹配只记录某些事件,但在这种情况下我认为最好对任何帐户活动都进行告警。
4、保存后来到“操作”选项卡我选择了一个powershell腳本来区分不同的人,并提供有关事件的详细信息
5、勾选“只有当计算机处于通电时才启动任务”。
通过此类简单便于设置的AD用户名蜜罐有一定的几率可以发现攻击者的足迹并做进一步的防御。
最近不知道咋了好多客户的ADad账號是什么经常被锁,而且近期我在51CTO的论坛内也发现有朋友在问ADad账号是什么被锁定了,可以查到在哪个IP或哪个客户端锁定的吗。
其实微軟在早期发布过一款工具这款工具是可以查到在哪个域控上锁定的,然后通过日志大致可以定位到锁定的客户端这款工具叫做:Lockoutstatus
我们可以清楚的看到,峩的ad账号是什么是在EXSRV01这台计算机上锁定的
其实到这里还算结束,其实我们是可以看到最后一次登录这台(EXSRV01)电脑的用户是谁
亲们剩下的僦是你们可以指着用户的鼻子质问他了