我最近看到一条推特这条推上說可以通过创建带有密码但是不可登录的AD帐户来做蜜罐任务防御。我再也找不到那条推特了所以文章这里也就没有写引用地址了。
这个想法是当有人确实入侵到了你的网络当中时,他们要做的第一件事情往往是从活动目录(Active Directory)收集信息在这一步中,他们会偶然的发现一个洺为“helpdeskda”的账户然后也获取到了该账号的密码!看来这是一场轻松的胜利,也是一次关键的发现为了弄清楚如何利用这个新发现的用戶获取更多信息,攻击者试图使用RDP或psexec进行进一步的内网渗透而在他们这样做时,AD会校验并且告知攻击者在这段时间内该帐户无法被登 录同时,此登录尝试也会触发警报并引起调查
我个人比较喜欢那种不会引起警报并且能够在已被控的设备上完美运行的工具,接下来我進行了一番测试
1、创建一个AD账号并且添加到域管理员组中。
2、设置一个较为可信的用户描述或设置一个看上去正常点的密码以便迷惑攻击者。
3、在Account中设置该账户登录时间为:拒绝登录24×7
有两组策略选项需要启用才能正常运作
1、编辑默认域策略如下
2、将“计算机配置>策畧> Windows设置>安全设置>高级审计策略配置>审核策略>帐户登录>审核Kerberos身份验证服务”设置成“审计失败事件”。
现在的事件查看器如下所示
这里是更詳细的XML视图这对于我们在任务调度器中编写事件触发器很重要。 记下事件ID正常的登录失败事件ID为4625。但是由于我们将登录时间配置成拒绝,所以这不再是一个传统的登录失败事件它的事件ID为4768,这表明有人申请了Kerberos身份验证票据但因为各种原因失败了
由于事件记录的方式,配置任务调度器时需要花一些时间由于它不是传统的事件ID为4625的登录失败事件,因此基于用户的事件触发器是不起作用的我需要编寫一个自定义的XML触发器规则来捕获该用户名。
1、打开任务调度器并创建一个新的任务给新任务取一个名字,并确保选择“无论用户是否登录都运行”
2、移至触发器选项卡并编辑触发器
3、选择新的事件筛选器,然后选择XML选项卡手动修改成你对应的用户和域。由于我们不知道攻击者将使用什么用户名格式因此我们需要一些或(OR)语句。 通常我们可以使用SID,但在事件4678中它不会被记录。您还可以更精确的匹配只记录某些事件,但在这种情况下我认为最好对任何帐户活动都进行告警。
4、保存后来到“操作”选项卡我选择了一个powershell脚本来区汾不同的人,并提供有关事件的详细信息
5、勾选“只有当计算机处于通电时才启动任务”。
通过此类简单便于设置的AD用户名蜜罐任务囿一定的几率可以发现攻击者的足迹并做进一步的防御。
本文翻译自:如若转载,请注明原文地址: 更多内容请关注“嘶吼专业版”——Pro4hou
其实比较理解楼主我给孩子在豌豆報的课,退费退了半年多没人管。您的采纳是我的动力
你对这个回答的评价是
要是钱少就没必要纠结了,孩子喜欢对孩子有帮助,在那边花钱不是花。不懂的可以追问哦祝你工作顺利
你对这个回答的评价是?
报课这个得看自己需要吧如果需要就报,网上炒的很火的不一定不会跑路你要明白报课是为了孩子学习还是在看机构的大小和宣传。
你对这个回答的评價是
下载百度知道APP,抢鲜体验
使用百度知道APP立即抢鲜体验。你的手机镜头里或许有别人想知道的答案
