如何使用FarsightAD在活动目录域中检测攻击者部署的持久化机制
关于FarsightAD
FarsightAD是一款功能强大的PowerShell脚本,该工具可以帮助广大研究人员在活动目录域遭受到渗透攻击之后,检测到由攻击者部署的持久化机制。
该脚本能够生成并导出各种对象及其属性的CSV/JSON文件,并附带从元数据副本中获取到的时间戳信息。除此之外,如果使用了复制权限执行该工具的话,则可以利用目录复制服务(DRS)协议来检测完全或部分隐藏的对象。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地
git clone https://github.com/Qazeer/FarsightAD.git
工具要求
FarsightAD需要PowerShell7以及对应版本的ActiveDirectory模块。在Windows 10/11操作系统上,可以通过可选功能来安装该模块。
如果安装成功,则可以使用下列命令来更新该模块:
Add-WindowsCapability -Online -Name Rsat.ServerManager.Tools~~~~0.0.1.0
(向右滑动、查看更多)
如果模块成功更新完成,那么Get-Command Get-ADObject则会返回下列信息:
CommandType Name Version Source
----------- ---- ------- ------
Cmdlet Get-ADObject 1.0.X.X ActiveDirectory
(向右滑动、查看更多)
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Qazeer/FarsightAD.git
工具基础使用
. .\FarsightAD.ps1
Invoke-ADHunting [-Server <DC_IP | DC_HOSTNAME>] [-Credential <PS_CREDENTIAL>] [-ADDriveName <AD_DRIVE_NAME>] [-OutputFolder <OUTPUT_FOLDER>] [-ExportType <CSV | JSON>]
许可证协议
本项目的开发与发布遵循CC0-1.0开源许可证协议。
项目地址
FarsightAD:https://github.com/Qazeer/FarsightAD
参考资料:
https://github.com/Qazeer/FarsightAD/blob/main/SANS_DFIR_Summit_2022-Hunting_for_Active_Directory_persistence-v1.2.pdf https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools https://github.com/vletoux/MakeMeEnterpriseAdmin https://github.com/gentilkiwi/mimikatz https://github.com/b4rtik/SharpKatz https://www.powershellgallery.com/packages/ADComputerKeys/1.0.0/Content/ADComputerKeys.psm1 https://posts.specterops.io/certified-pre-owned-d95910965cd2 https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/ https://github.com/adbertram/Random-PowerShell-Work/blob/master/ActiveDirectory/ActiveDirectorySPN.psm1 https://twitter.com/_Qazeer
相关文章
- pycharm中使用anaconda部署python环境_anaconda pycharm环境配置
- 项目部署到6666端口访问不了
- 热部署JRebel的使用
- Jenkins详细安装与构建部署使用教程[通俗易懂]
- GitLab的安装与部署
- IDEA如何使用热部署方式启动项目?
- 使用iSCSI服务部署网络存储
- 一线开发大牛教你如何使用Kubernetes部署分布式集群
- 如何使用Arsenal快速部署功能强大的Bug Bounty工具
- 使用 centerOS 7 部署 django 项目 python3.7.3
- 【瑞吉外卖】前后端分离开发、项目部署、Swagger
- 使用云服务器部署 Spring Boot 项目
- 使用Docker Compose部署应用(详解版)
- 使用Docker部署MySQL服务器(服务器部署mysql)
- 部署Kali Linux快速部署指南(kalilinux安装)
- 使用 Docker 部署 Redis 服务器(dockerredis)
- 使用Linux平台快速搭建Java应用,加速下载与部署——基于Java镜像的部署实践(linuxjava镜像)
- SQL Server表结构实现快速脚本式部署(sqlserver表脚本)
- 在Linux系统上部署Jboss——让业务发挥极致(jbosslinux)
- 如何正确安装部署Redis(怎么使用安装redis)
- 实现单点部署,精准优化Redis架构(单点redis 优化)
- Redis部署多个哨兵,实现高可用性(redis部署几个哨兵)
- 部署如何快速部署Redis单机连接(redis连接单机)
- 灵活的Redis群部署模式简介(redis群部署模式)
- 在Ubuntu12.04Server上安装部署RubyonRails应用