WatchAD

Система обнаружения вторжений AD Security

Английский документ | 中文文档

После сбора журналов событий и трафика Kerberos на всех контроллерах домена, WatchAD может обнаруживать различные известные или неизвестные угрозы с помощью функций сопоставления, анализа протокола Kerberos, исторического поведения, конфиденциальных операций, учётных записей приманок и так далее. Правила WatchAD охватывают множество распространённых атак AD.

WatchAD успешно работает во внутренней сети Qihoo 360 уже более шести месяцев и обнаружил несколько угроз.

Чтобы поддержать сообщество открытого исходного кода и способствовать улучшению проекта, мы решили открыть часть системы, основанную на обнаружении журналов событий.

В настоящее время поддерживаются следующие обнаружения:

• Обнаружение: разведка с использованием запросов к службам каталогов, разведка с использованием PsLoggedOn, активность учётных записей приманки.
• Сброс учётных данных: Kerberoasting [NT], AS-REP Roasting, удалённый сброс пароля DC.
• Боковое перемещение: перебор, подозрительный удалённый вход в систему с использованием учётных данных, удалённое выполнение с целью DC, аномальное имя общей папки Windows, деятельность по снижению уровня шифрования [NT].
• Повышение привилегий: аномальное изменение ACL, обнаружение атак MS17-010, создание новой групповой политики, NTLM Relay Activity, предоставление конфиденциального разрешения делегирования на основе ограничений ресурсов, атака на службы печати с SpoolSample, повышение привилегий с атаками MS14-068 [NT], подозрительная активность делегирования ограничений Kerberos [NT].
• Постоянство: модификация AdminSDHolder, обнаружение атаки DCShadow, модификация пароля DSRM, предоставление конфиденциальных разрешений делегирования групповой политики, предоставление конфиденциальных разрешений делегированных разрешений Kerberos, модификация конфиденциальных групп, создание новой системной службы на DC, создание новой запланированной задачи на DC, модификация SIDHistory, активное обнаружение Skeleton Key, пассивное обнаружение Skeleton Key [NT], активность золотого билета Kerberos [NT].
• Уклонение от защиты: злонамеренное удаление журналов событий, отключение службы журналов событий.

[NT] означает «на основе сетевого трафика». На данный момент эта часть не входит в этот план с открытым исходным кодом. Мы продолжим открывать исходный код на основе обратной связи.

Наш доклад «Ускользнули от Microsoft ATA? Но Вы Полностью Обнародованы Журналами Событий» об обнаружении атак AD на основе журнала событий показан на DEF CON 27 @ Blue Team Village.

Установка

WatchAD — это комплексная система обнаружения с множеством компонентов. Пожалуйста, обратитесь к руководству по установке, чтобы установить. Чтобы настроить учётную запись приманки, пожалуйста, обратитесь к руководству по учётной записи приманки.

Архитектура:

Этот проект WatchAD содержит только часть кода, связанного с механизмом обнаружения. Для форматирования отображения вы можете поместить данные тревоги на свою платформу или использовать разработанную нами веб-платформу — WatchAD-Web, которая представляет собой простую платформу, адаптированную для WatchAD для некоторых общих операций. Если у вас есть дополнительные потребности в дизайне интерфейса или опыте работы, настройте разработку в соответствии с сигналом тревоги WatchAD. ## Модуль пользовательского обнаружения

WatchAD поддерживает разработку модулей пользовательского обнаружения, обратитесь к нашему руководству по разработке。

Если вам не нужен какой-либо модуль, вы можете удалить файл .py модуля напрямую и перезапустить механизм обнаружения.

Не удаляйте файлы в каталоге «record», который не участвует в обнаружении угроз и просто записывает ключевые действия сущностей.

// TODO

• Английский комментарий к коду
• Совместимость с ElasticSearch 6.X
• Уменьшение ложных срабатываний
• Kerberoasting: обнаружение на основе журнала событий было заменено анализом трафика Kerberos. Мы рассматриваем возможность его возврата.
• Pass-the-Hash (PtH): есть некоторые ложные срабатывания, оптимизация
• Pass-the-Ticket (PtT): есть некоторые ложные срабатывания, оптимизация
• Silver-Ticket: есть некоторые ложные срабатывания, оптимизация
• Fake account information: есть некоторые ложные срабатывания, оптимизация
• Обнаружение скомпрометированных учётных записей на основе исторического поведения
• Обнаружения на основе открытого исходного кода трафика Kerberos
• Анализ трафика протокола NTLM

Если вы обнаружите другие методы атак, которые можно добавить к обнаружению WatchAD, пожалуйста, создайте задачу, чтобы сообщить нам об этом, или отправьте PR, чтобы стать участником этого проекта.

Если вы считаете, что модуль обнаружения имеет много ложных срабатываний (более 10 в день), пожалуйста, сообщите нам об этом или отправьте PR после исправления.

Следуйте за мной

Github: @9ian1i Twitter: @9ian1i

Ссылки

• Active Directory Kill Chain Attack & Defense
• Active Directory Security
• Windows Security Log Events
• Блог harmj0y
• Документ журнала событий
• Понимание синтаксиса SDDL
• Повышение привилегий с помощью списков контроля доступа в Active Directory
• Злоупотребление Exchange: один вызов API от администратора домена
• Блог 3gstudent
• Блог лаборатории тестирования на проникновение
• Атака, защита и обнаружение
• БЛОГ О ВНУТРЕННИХ УГРОЗАХ БЕЗОПАСНОСТИ
• Как использовать флаги UserAccountControl для управления свойствами учётной записи пользователя
• Документация по расширенной аналитике угроз