讲在前面：

DCSync的工作方式：

利用DCsync

复制目录更改（DS-Replication-Get-Changes）

全部复制目录更改（DS-Replication-Get-Changes-All）

复制过滤集中的目录更改（极少出现，仅在某些环境中需要）

使用DCSync提取krbtgt账户的密码数据

监测DCSync的使用

讲在前面：

Mimkatz在2015年8月添加的一个主要特性是“DCSync”，它可以有效地“模拟”一个域控制器，并向目标域控制器请求帐户密码数据。DCSync由Benjamin Delpy和Vincent Le Toux编写。

使用适当的权限来利用Mimikatz的DCSync，攻击者可以通过网络从域控制器获取密码hash和以前的密码hash，从而不需要进行交互式的登录或复制Active Directory数据库文件(ntdd .dit)来得到密码hash

运行DCSync需要特殊权限。管理员、域管理员、企业管理员以及域控制器计算机帐户的任何成员都可以运行DCSync来提取密码数据。注意，默认情况下，只读域控制器不允许为用户提取密码数据。攻击者可以使用它来获取任何帐户的NTLM哈希，包括KRBTGT帐户，从而使攻击者可以创建Golden Tickets。该攻击最棘手的部分是它利用了Active Directory的有效和必要功能，因此无法将其关闭或禁用

lsadump::dcsync /domain:pingpig.com /user:krbtgt

上图中的凭据部分显示了当前的NTLM哈希以及密码历史记录。此信息可能对攻击者有价值，因为它可以为用户（如果被破解）提供密码创建策略

有关红队使用Mimikatz DCSync的帮助信息

DCSync的工作方式：

一般来说，DCSYNC攻击的工作方式如下：

发现域控制器以请求复制。
使用GetNCChanges 函数请求用户复制。
DC将复制数据（包括密码哈希）返回给请求者。

GetNCChanges函数的简介：

当第一个客户端DC要从第二个客户端获取AD对象更新时，客户端DC向服务器发送DSGetNCChanges请求。该响应包含一组客户端必须应用于其NC副本的更新。

对于仅一个响应消息，更新集可能太大。在这些情况下，将完成多个DSGetNCChanges请求和响应。此过程称为复制周期或简称为循环。

利用DCsync

打开“ Active Directory用户和计算机”管理中心
右键单击域对象，例如“ company.com”，然后右击“属性”。
在“安全性”选项卡上，如果未列出所需的用户帐户，请单击“添加”。如果列出了所需的用户帐户，请继续执行步骤7。
在“选择用户，计算机或组”对话框中，选择所需的用户帐户，然后单击“添加”。
单击确定以返回到属性对话框。
单击所需的用户帐户。
单击以选中列表中指定的属性的复选框。
单击“应用”，然后单击“确定”。
关闭管理单元。

可以使用常规域用户帐户运行DCSync。但需要在域控上委派以下三种权限，域用户帐户可才以使用DCSync成功检索密码数据：

复制目录更改（DS-Replication-Get-Changes）

需要扩展权限，以便仅复制来自给定NC的那些更改，这些更改也已复制到全局编录（不包括秘密域数据）。此约束仅对域NC有意义。

全部复制目录更改（DS-Replication-Get-Changes-All）

控制访问权限，该权限允许复制给定复制NC中的所有数据，包括秘密域数据。

复制过滤集中的目录更改（极少出现，仅在某些环境中需要）

注意：

默认情况下，Administrators和Domain Controller组的成员具有这些权限。域中的“完全控制”权限也提供了这些权限，请限制域内用户具有域管理员级别的权限。

使用DCSync提取krbtgt账户的密码数据

lsadump::dcsync /domain:pingpig.com /user:krbtgt

导出域内所有用户的hash：

lsadump::dcsync /domain:pingpig.com /all /csv

监测DCSync的使用

虽然可以使用安全事件日志识别DCSync的使用情况，但最好的检测方法是通过网络监视

启用网络监控

网络监控是最好的检测方法。应标识所有域控制器IP地址，然后将其添加到“复制允许列表”中。企业应配置入侵检测系统（IDS），以在发现DSGetNCChange请求源自该IP列表之外时发出警报，

审核域管理员和用户权限

要防止DCSync攻击，需要了解哪些帐户具有域复制权限。有了这些基本知识，安全人员才好判断是撤销或限制域内任何一个帐户的某些权利。鉴于这些特权是域管理员和域控制器的标准权限，请考虑严格限制对这些组的访问，同时还要加强所有组成员的身份验证要求，以使离线密码破解更加困难。

加强补丁和配置管理

确保遵循基本的安全防御习惯，包括补丁和配置管理，端点检测和响应以及用户意识培训。基本的安全防护才是保护帐户免受外部攻击者或内部恶意人员攻击的最可靠方法。

DCSync：攻击与检测相关推荐

基于AD Event日志识别DCSync攻击
01.简介 DCSync攻击是一种常见的域控攻击方法,利用DCSync导出域内用户的哈希值,本质上就是利用DRS(Directory Replication Service)协议通过 IDL_DRSG ...
mysql %3c%3e sql优化_SQL注入技术和跨站脚本攻击的检测(2)
2.3 典型的 SQL 注入攻击的正则表达式 /\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix 解释: \w* - 零个或多个字符或者下划线 ...
【传统网络】与【SDN】的【DDos攻击与检测】
DDos攻击什么是 DDoS 攻击? 又有那些著名的案例? 拒绝服务(DoS)攻击可使目标计算机上的系统资源过期.停止服务并使其正常用户无法访问.当黑客使用网络上的两台或多台受攻击的计算机作为傀儡计 ...
基于SDN环境下的DDoS异常攻击的检测与缓解--实验
基于SDN环境下的DDoS异常攻击的检测与缓解--实验基于SDN环境下的DDoS异常攻击的检测与缓解--实验 1.安装floodlight 2.安装sFlow-RT流量监控设备 3.命令行安装cur ...
DDoS攻击流量检测方法
DDoS攻击流量检测方法检测分类 1)误用检测误用检测主要是根据已知的攻击特征直接检测入侵行为.首先对异常信息源建模分析提取特征向量,根据特征设计针对性的特征检测算法,若新数据样本检测出相应的特征 ...
攻击入侵检测NIDS分析
时间:2004-06-13 来源:http://www.ccw.com.cn/ 在网络安全发展的今天,IDS即入侵检测系统在网络环境中的使用越来越普遍,当hacker在攻击一个装有IDS的网络服务器时 ...
【安全与风险】恶意软件:概念、攻击和检测
恶意软件:概念.攻击和检测恶意软件的定义恶意软件的类型易损性如何防范恶意软件:终端用户的观点不足防病毒软件基于主机的恶意软件检测特征检测启发式检测数据收集挑战沙箱分析蜜罐恶意 ...
攻击的检测与防护方法
工业控制系统攻击中的针对工业控制系统的攻击,不论在规模宏大的网络战(Cyberwar),还是在一般的网络犯罪(Cybercrime)中,都可以发现 APT 的影子. 网络战中的 APT--Stux ...
[免费专栏] ATTACK安全之Android车机证书攻击场景检测「检测系统代理」
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大少走了弯路,也就错过了风景,无论如何,感谢经历 ATTACK付费专栏长期更新,本篇最新内容请前往: [车联网 ...

DCSync：攻击与检测

讲在前面：

DCSync的工作方式：

利用DCsync

复制目录更改（DS-Replication-Get-Changes）

全部复制目录更改（DS-Replication-Get-Changes-All）

复制过滤集中的目录更改（极少出现，仅在某些环境中需要）

使用DCSync提取krbtgt账户的密码数据

监测DCSync的使用

DCSync：攻击与检测相关推荐

最新文章

热门文章