基于AD Event日志识别SID History后门
2023-06-13 09:17:03 时间
01、简介
每个用户都有一个关联的安全标识符(SID),SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。当攻击者获得了域管理员权限,就可以将SID History作为实现持久化的方法。
通过AD Event日志如何找到SID History的后门痕迹,我们通过一个后门利用实例来找找日志中留下的信息,从而制定安全监控规则,检测可疑的SID History后门行为。
02、利用方式
(1)使用域管理员权限查看test用户的SID History属性。
PS C:\Users\Administrator> Import-Module ActiveDirectory
PS C:\Users\Administrator> Get-ADUser test -Properties sidhistory
(2)使用域管理员权限运行mimikatz,将administrator的SID添加到普通用户test的SID History属性中。
//提升权限
mimikatz # privilege::debug
//修复NTDS服务
mimikatz # sid::patch
//将高权限SID注入到地权限用户的SID History属性
mimikatz # sid::add /sam:test /new:administrator
(3)重新查看test用户的SID History属性
(4)使用 test 用户登录域控服务器,可以看到已经拥有了管理员权限。
03、攻击检测
当攻击者将 SID Histtory属性添加到用户,用户对象发生更改产生4738事件,通过监视SidHistory属性的值,从而找到可疑的SID History后门行为。
4738事件:每次更改用户对象时,都会生成此事件,包含使用帐户和目标帐户以及Sid History属性的值。
安全检测规则:
相关文章
- 2021电赛F题智能送药小车方案分析(openMV数字识别,红线循迹,STM32HAL库freeRTOS,串级PID快速学习,小车自动返回)[通俗易懂]
- Unity 接入百度AI - 通用物体和场景识别
- 基于Windows的安全帽识别算法「建议收藏」
- 视频行为识别检测综述 IDT TSN CNN-LSTM C3D CDC R-C3D
- 大型活动大规模人群的识别和疏散:从公交2.0到公交3.0
- 优思学院|了解DFMEA,识别设计上的潜在失效模式!
- 百度升级蓝天算法加强“站点构造目录发布低质内容”识别能力
- 如何识别六西格玛团队失败的信号?
- PHP批量识别Nginx网站日志内的百度真假爬虫记录
- 银行卡识别OCR:解放金融业务处理效率的黑科技!
- Linux下识别中文的实用技巧(linux识别中文)
- GitHub 现在支持安全密钥和生物识别选项进行身份验证
- Linux文件ID:文件识别的完美方案(linux文件id)