創建AD蜜罐賬號居然有防禦的功效？

我最近看到一條推特，這條推上說可以通過創建帶有密碼但是不可登錄的AD帳戶來做蜜罐防禦。我再也找不到那條推特了，所以文章這裡也就沒有寫引用地址了。

這個想法是，當有人確實入侵到了你的網路當中時，他們要做的第一件事情往往是從活動目錄(Active Directory)收集信息。在這一步中，他們會偶然的發現一個名為「helpdeskda」的賬戶，然後也獲取到了該賬號的密碼！看來這是一場輕鬆的勝利，也是一次關鍵的發現。為了弄清楚如何利用這個新發現的用戶獲取更多信息，攻擊者試圖使用RDP或psexec進行進一步的內網滲透。而在他們這樣做時，AD會校驗並且告知攻擊者在這段時間內該帳戶無法被登 錄。同時，此登錄嘗試也會觸發警報並引起調查。

我個人比較喜歡那種不會引起警報並且能夠在已被控的設備上完美運行的工具，接下來我進行了一番測試。

創建AD賬號

1、創建一個AD賬號並且添加到域管理員組中。

2、設置一個較為可信的用戶描述或設置一個看上去正常點的密碼，以便迷惑攻擊者。

3、在Account中設置該賬戶登錄時間為：拒絕登錄24×7

組策略配置

有兩組策略選項需要啟用才能正常運作。

1、編輯默認域策略如下

2、將「計算機配置>策略> Windows設置>安全設置>高級審計策略配置>審核策略>帳戶登錄>審核Kerberos身份驗證服務」設置成「審計失敗事件」。

3、通過「gpupdate /force」命令更新組策略

事件查看器

現在的事件查看器如下所示

這裡是更詳細的XML視圖，這對於我們在任務調度器中編寫事件觸發器很重要。 記下事件ID，正常的登錄失敗事件ID為4625。但是，由於我們將登錄時間配置成拒絕，所以這不再是一個傳統的登錄失敗事件，它的事件ID為4768，這表明有人申請了Kerberos身份驗證票據但因為各種原因失敗了。

配置任務調度器

由於事件記錄的方式，配置任務調度器時需要花一些時間。由於它不是傳統的事件ID為4625的登錄失敗事件，因此基於用戶的事件觸發器是不起作用的。我需要編寫一個自定義的XML觸發器規則來捕獲該用戶名。

1、打開任務調度器並創建一個新的任務。給新任務取一個名字，並確保選擇「無論用戶是否登錄都運行」。

2、移至觸發器選項卡並編輯觸發器

3、選擇新的事件篩選器，然後選擇XML選項卡。手動修改成你對應的用戶和域。由於我們不知道攻擊者將使用什麼用戶名格式，因此我們需要一些或(OR)語句。 通常，我們可以使用SID，但在事件4678中，它不會被記錄。您還可以更精確的匹配，只記錄某些事件，但在這種情況下，我認為最好對任何帳戶活動都進行告警。

4、保存後來到「操作」選項卡，我選擇了一個powershell腳本來區分不同的人，並提供有關事件的詳細信息。

5、勾選「只有當計算機處於通電時才啟動任務」。

上述的Powershell Script腳本emailAlert.ps1如下

function sendMail{nWrite-Host "Sending Email"n#SMTP server namen$smtpServer = "smtpserver"n#Creating a Mail objectn$msg = new-object Net.Mail.MailMessagen#Creating SMTP server objectn$smtp = new-object Net.Mail.SmtpClient($smtpServer)n$file = "C:usersAdministratorDesktopalert.txt"n$att = new-object Net.Mail.Attachment($file)n#Email structuren$msg.From = "noreply@example.com"n$msg.ReplyTo = "noreply@example.com"n$msg.To.Add("securityteam@example.com")n$msg.To.Add("securityteam@example.com")n$msg.subject = "ALERT:Honey Account"n$msg.body = "Honey Account Activity Detected"n$msg.Attachments.Add($att)n#Sending emailn$smtp.Send($msg)n}nfunction collectDetails{n $attachment= Get-WinEvent -LogName "Security" -FilterXPath "*[EventData[(Data=ws_admin@security.local or Data=ws_admin or Data=SECURITY-DCws_admin)]]" | Format-List -Property * | Out-File C:usersAdministratorDesktopalert.txtn}n#Calling functionncollectDetailsnsendMailn

通過此類簡單便於設置的AD用戶名蜜罐，有一定的幾率可以發現攻擊者的足跡並做進一步的防禦。

本文翻譯自：https://jordanpotti.com/2017/11/06/honey-accounts/，如若轉載，請註明原文地址： http://www.4hou.com/web/8453.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：