AD域应急-NTLM Relay攻击狩猎
在 Active Directory 环境中,NTLM Relay 是一种非常经典、同时也极具现实威胁性的横向移动技术。它并不依赖漏洞利用,而是滥用了 NTLM 认证协议本身的设计缺陷。在实际应急响应中,这类攻击往往隐藏在“看似正常的登录行为”之中,如果没有针对性的检测思路,很容易被忽略。
阅读更多在 Active Directory 环境中,NTLM Relay 是一种非常经典、同时也极具现实威胁性的横向移动技术。它并不依赖漏洞利用,而是滥用了 NTLM 认证协议本身的设计缺陷。在实际应急响应中,这类攻击往往隐藏在“看似正常的登录行为”之中,如果没有针对性的检测思路,很容易被忽略。
阅读更多在企业级 Windows 域环境中,Kerberos 是最核心的身份认证机制之一。而一旦 Kerberos 的根基被攻破,攻击者就可能获得对整个域的“无限通行证”——这正是 Golden Ticket(黄金票据)攻击 的本质。
阅读更多在 Active Directory 环境中,NTDS.dit 是最核心、也是最危险的一份数据。一旦这份文件落入攻击者手中,基本可以视为整个域已经失守。在应急响应过程中,如果我们忽略了对 NTDS 数据库转储行为的监控,往往意味着攻击者离拿下域控不远了。
阅读更多在 Active Directory 域环境中,LDAP 是一个再正常不过的存在。无论是用户登录、计算机加入域,还是服务账户访问资源,底层几乎都绕不开 LDAP 查询。从运维视角看,这是“基础设施的必要操作”;但从攻击者视角看,LDAP 则是快速摸清整个域环境结构的捷径。
阅读更多在 Active Directory 环境中,Kerberoasting 是一种非常经典、也非常“务实”的攻击方式。攻击者并不需要管理员权限,只要拥有一个普通的域用户账号,就可以对配置不当的服务账号发起攻击。
阅读更多在 Active Directory 环境中,AS-REP Roasting 是一种针对 禁用了 Kerberos 预身份验证(Pre-Authentication)账户 的攻击手法。攻击者并不需要获取用户的明文密码,只要目标账户关闭了预身份验证,就可以直接向域控制器请求 Kerberos 的 TGT(Ticket Granting Ticket),并将返回的数据用于离线密码破解。
阅读更多