Investigates Active Directory compromises by analyzing authentication logs, replication metadata, group policy changes, and Kerberos ticket anomalies to identify persistence mechanisms and lateral movement paths.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
Active Directory(AD)攻陷调查是一项关键的事件响应能力,专注于识别攻击者如何获取域服务访问权限、建立了哪些持久化机制以及凭据攻陷的范围。由于 88% 的攻击事件涉及凭据攻陷(Verizon 2025 DBIR),AD 是企业范围攻击的主要目标。调查人员必须分析 NTDS.dit 数据库完整性、Kerberos 票据授予活动、组策略修改、复制元数据和特权组成员变更,以重建攻击链并确定完整攻陷范围。
Investigates Active Directory compromises by analyzing authentication logs, replication metadata, Group Policy changes, and Kerberos ticket anomalies to detect persistence and lateral movement.
Investigates Active Directory compromises by analyzing authentication logs, replication metadata, Group Policy changes, and Kerberos ticket anomalies to identify attacker persistence and lateral movement.
Performs Active Directory penetration testing: enumerates domain objects, analyzes attack paths with BloodHound, exploits Kerberos weaknesses, escalates privileges via ADCS/DCSync, and demonstrates domain compromise.
Share bugs, ideas, or general feedback.
Active Directory(AD)攻陷调查是一项关键的事件响应能力,专注于识别攻击者如何获取域服务访问权限、建立了哪些持久化机制以及凭据攻陷的范围。由于 88% 的攻击事件涉及凭据攻陷(Verizon 2025 DBIR),AD 是企业范围攻击的主要目标。调查人员必须分析 NTDS.dit 数据库完整性、Kerberos 票据授予活动、组策略修改、复制元数据和特权组成员变更,以重建攻击链并确定完整攻陷范围。
NTDS.dit 文件是核心 Active Directory 凭据数据库,包含所有域账号的密码哈希。攻击者通常使用 ntdsutil、secretsdump.py 或通过 Mimikatz 的 DCSync 攻击来窃取该文件。
检测指标:
黄金票据(Golden Ticket)指标:
白银票据(Silver Ticket)指标:
Kerberoasting 指标:
追踪以下关键组的变更:
1. 识别可能受攻陷的域控制器
2. 采集 Security、System、Directory Service 事件日志
3. 使用 repadmin 提取 AD 复制元数据
4. 采集 ntdsutil 快照用于离线分析
5. 采集 DNS 服务器日志和区域传输记录
6. 导出组策略对象(GPO)配置
7. 记录当前特权组成员关系
1. 解析事件 ID 4624/4625 的登录模式
2. 识别哈希传递(Pass-the-Hash)指标(事件 ID 4624 类型 3 使用 NTLM)
3. 分析事件 ID 4768/4769/4771 中的 Kerberos 异常
4. 检查事件 ID 4776 的 NTLM 认证失败
5. 将登录事件与已知受攻陷账号交叉比对
6. 通过认证链映射横向移动路径
1. 枚举 AdminSDHolder ACL 修改
2. 检查账号上的 SID History 滥用
3. 验证 krbtgt 账号密码的时效
4. 审计 DSRM 密码配置
5. 检查 Skeleton Key 恶意软件指标
6. 检查 AD Certificate Services 中的流氓证书
7. 验证 DNS 记录以排查 DNS 投毒
1. 两次轮换 krbtgt 密码(两次轮换之间等待复制完成)
2. 重置所有受攻陷账号的密码
3. 删除未授权的特权组成员
4. 如 AD CS 受攻陷则吊销流氓证书
5. 必要时从干净介质重建域控制器
6. 实施分层管理(Tiered Administration)模型
7. 为特权账号启用 Protected Users 组
| 事件 ID | 来源 | 说明 |
|---|---|---|
| 4624 | Security | 成功登录 |
| 4625 | Security | 登录失败 |
| 4648 | Security | 显式凭据登录 |
| 4662 | Security | 对 AD 对象的操作 |
| 4768 | Security | 请求 Kerberos TGT |
| 4769 | Security | 请求 Kerberos 服务票据 |
| 4771 | Security | Kerberos 预认证失败 |
| 4776 | Security | NTLM 凭据验证 |
| 5136 | Security | 目录对象修改 |
| 5137 | Security | 目录对象创建 |
| 4706 | Security | 信任关系创建 |
| 4707 | Security | 信任关系删除 |
| 4742 | Security | 计算机账号变更 |
| 8222 | System | 创建卷影副本 |
| 工具 | 用途 |
|---|---|
| BloodHound | 攻击路径映射与权限提升分析 |
| Pingcastle | AD 安全评估与风险评分 |
| Purple Knight | Semperis 出品的 AD 漏洞扫描 |
| ADRecon | Active Directory 数据采集 |
| Mimikatz | 凭据提取与 Kerberos 分析 |
| Impacket | DCSync 检测与 NTLM 中继分析 |
| Velociraptor | 远程取证产物采集 |
| Timeline Explorer | 事件日志时间线分析 |
| 技术 | ID | 相关性 |
|---|---|---|
| DCSync | T1003.006 | NTDS.dit 凭据提取 |
| 黄金票据 | T1558.001 | Kerberos TGT 伪造 |
| 白银票据 | T1558.002 | 服务票据伪造 |
| Kerberoasting | T1558.003 | 服务账号哈希提取 |
| 哈希传递 | T1550.002 | NTLM 哈希重用 |
| 组策略修改 | T1484.001 | 通过 GPO 实现持久化 |
| 账号操纵 | T1098 | 特权组变更 |
| SID-History 注入 | T1134.005 | 权限提升 |