Windows RID(Relative Identifier)劫持是一种攻击技术,通常用于提升攻击者在 Windows 网络中的权限。攻击者通过操控 RID 的分配方式,可能获得管理员或更高级别的权限。这种攻击方法利用了 Windows 域控制器中相对标识符(RID)分配的漏洞,通常发生在域管理员未及时修复已知漏洞或配置不当的情况下。

Windows RID(Relative Identifier)劫持是一种攻击技术,通常用于提升攻击者在 Windows 网络中的权限。攻击者通过操控 RID 的分配方式,可能获得管理员或更高级别的权限。这种攻击方法利用了 Windows 域控制器中相对标识符(RID)分配的漏洞,通常发生在域管理员未及时修复已知漏洞或配置不当的情况下。

怎么样:

攻击者通过利用 RID 劫持,将自己添加到一个具有更高权限的组(如域管理员组)中,从而获取更高的控制权限。RID 是一个用户或组的标识符,通过修改与权限相关的 RID 值,攻击者可以将自己添加到一个高权限组里。

为什么:

  1. 权限提升:通过 RID 劫持,攻击者能够以管理员身份执行操作,进一步控制网络中的资源和数据。
  2. 缺乏安全配置:攻击者可以利用 Windows 中对权限管理的不当配置或漏洞进行攻击,特别是在一些安全更新未及时应用的情况下。
  3. 滥用管理员权限:一旦攻击者成功劫持了域管理员组的 RID,他们可以在网络中执行任何操作,窃取数据或破坏系统。

这种攻击通常发生在针对企业网络的攻击中,尤其是当网络管理员没有妥善管理域控制器和域用户组的权限时。

Windows RID 劫持(RID Hijacking)是通过操控 Windows 域控制器中 相对标识符(RID) 的分配方式,来提升权限并加入高权限组的一种攻击方式。这种攻击主要依赖于 Windows 域控制器(Active Directory)中对用户、组和权限的管理方式,特别是在 RID 分配机制的漏洞。

基本原理

1. RID 与 Active Directory(AD)的关系

  • 在 Windows 域控制器中,所有的用户和组都有一个唯一的标识符,称为 安全标识符(SID)。SID 是由两部分组成:域标识符(Domain SID) 和 相对标识符(RID)
  • RID(Relative Identifier) 是 SID 的一部分,用于区分同一域内的不同对象。每个 RID 都是唯一的,但在整个域内可能存在多个对象(如用户、计算机、组等)。
  • RID 分配通常是由 Windows 域控制器自动进行的,通常由 域控制器根据一定规则来分配给新创建的对象,且每个 RID 都是递增分配的。

2. 域管理员组与 RID 分配

  • 在 Windows 的域环境中,用户或组的 SID 是由两个部分组成的:域 SID 和 RID。例如,域管理员组的 SID 可能是:S-1-5-21-<domain>-500,其中 500 是 RID,用来标识“域管理员”这一组。
  • 域管理员组(Domain Admins)是一个预定义的高权限组,其 RID 在 Windows 域控制器中通常是 500。域管理员组拥有对域内所有计算机和资源的完全控制。

3. RID 劫持的攻击原理

RID 劫持利用的是 Active Directory 中的一个配置漏洞,攻击者可以通过操控 RID 的分配顺序,将低权限用户或账户的 RID 改为一个高权限账户的 RID,甚至将自己添加到特定的高权限组(如“域管理员”)中。

攻击的过程通常是这样的:

  1. 创建一个低权限用户:攻击者首先创建一个新的用户账号,并获取该用户的 SID 和 RID。
  2. 寻找高权限的 RID:攻击者查找目标域中已有的高权限组(如“域管理员”组)的 RID(通常是 500,表示“域管理员”)。
  3. 劫持 RID:攻击者将自己创建的低权限用户的 RID 改为高权限组的 RID。例如,将用户的 RID 设置为 500,使其看起来像是“域管理员”组的一员。
  4. 获取管理员权限:因为该用户现在的 SID 看起来像是域管理员组的一部分,因此该用户实际上被授予了域管理员权限,能够控制整个域。

4. 为什么这能成功

  • 缺乏权限检查:Windows 域控制器在分配和验证 RID 时,缺乏足够的权限验证,攻击者可以利用这一点来劫持 RID。虽然在大多数情况下,只有域管理员才能修改 RID,但是如果攻击者获得了某些权限(如通过漏洞或配置不当),就可以利用这一点进行攻击。
  • Active Directory 配置错误:如果 Active Directory 配置不当,或管理员忽略了某些安全设置,可能会让攻击者有机会将自己的 RID 更改为高权限组的 RID。
  • 分配不当的权限:在某些环境下,可能存在权限过宽的现象,普通用户可能拥有修改组成员的权限,或者某些权限设置不当,允许低权限用户进行高风险的操作。

攻击步骤简述

  1. 识别高权限用户和组:攻击者通过查询 Active Directory 查找目标组的 RID(如“域管理员”组的 RID 通常为 500)。
  2. 创建或利用现有低权限账号:创建一个普通用户账户或利用现有的低权限用户账号。
  3. 更改用户的 RID:攻击者修改低权限账号的 RID,使其与高权限组的 RID(如 500)一致。
  4. 提升权限:一旦 RID 被成功劫持,该低权限用户就会自动成为高权限组的成员,从而获得域管理员等高权限组的访问权限。

如何防范 RID 劫持

  1. 严格控制管理员权限:确保只有域管理员具有修改组成员和创建用户的权限,避免普通用户有过高的权限。
  2. 启用日志审计:开启 Active Directory 的日志审计,尤其是有关成员身份更改、组成员变动等操作的日志,及时发现异常操作。
  3. 及时应用安全补丁:确保系统和 Active Directory 的安全补丁及时更新,避免被已知漏洞攻击。
  4. 使用更强的访问控制:确保域控制器和管理权限的访问控制更严格,防止低权限用户通过滥用权限提升自身权力。
  5. 安全强化 AD 配置:可以通过配置安全策略(如启用多因素认证、最小权限原则等)来增强 Active Directory 的安全性。

 

Windows RID 劫持利用了 Windows 域控制器中 RID 分配和用户权限验证的漏洞,攻击者通过修改 RID 将自己伪装成高权限组成员,从而实现权限提升。通过操控 RID,攻击者可以绕过一些安全机制,获得对域控制器和网络资源的完全访问权限。防范该攻击的关键是加强 Active Directory 的安全配置、权限控制和日志审计。

Windows RID 劫持架构

RID 劫持(RID Hijacking) 是一种攻击方法,攻击者通过操控 Windows 域控制器中分配的 相对标识符(RID),使低权限的用户或账户能够获得高权限组的访问权限。了解 RID 劫持的架构涉及对 Windows 域环境、SID 结构和 RID 分配机制的理解。

Windows 域控制器和 Active Directory 架构

在 Windows 域环境中,所有的对象(如用户、组、计算机)都有一个 安全标识符(SID)。SID 是用来唯一标识对象的标识符,它由两部分组成:

  1. 域 SID:表示域的唯一标识符。
  2. RID(相对标识符):是 SID 的一部分,用于唯一标识域中不同的对象。每个对象的 RID 在域内是唯一的。

例如,域管理员组的 SID 可能是:

  • S-1-5-21-<domain>-500

在这里,S-1-5-21-<domain> 是域 SID,而 500 是 RID,它表示“域管理员”组。

RID 分配与攻击机制

在 Windows 域环境中,每个新创建的对象(包括用户、计算机、组等)都会分配一个唯一的 RID。RID 是由 Windows 域控制器 按照一定规则生成的,通常是递增的。RID 的分配和管理是攻击的关键。

  1. RID 分配机制

    • 当一个新对象(如用户或组)被创建时,域控制器会分配一个新的 RID。域控制器根据对象类型(用户、计算机、组等)和分配的 RID 来生成该对象的 SID。
    • 例如,域管理员组的 RID 是 500,而一般用户的 RID 可能会从 1000 开始递增。

  2. RID 劫持攻击的原理

    • 低权限用户创建:攻击者首先创建一个新的普通用户或组,并获取该用户的 SID 和 RID。
    • 高权限 RID 查找:攻击者通过查询 Active Directory,找出某个高权限组的 RID。例如,“域管理员”组的 RID 通常是 500
    • 修改 RID:攻击者使用工具或漏洞修改自己创建的低权限用户的 RID,使其看起来像是高权限组的一员。通过修改该用户的 RID,使其与高权限组(如“域管理员”组)的 RID 相同。
    • 权限提升:一旦 RID 被修改,攻击者的 SID 会变成一个看似属于高权限组的 SID(如 500)。这意味着攻击者实际上已经成为该组的成员,获得了与高权限组成员相同的权限,进而获得对域控制器和整个网络的完全控制。

RID 劫持攻击的架构图示

  1. 用户与 SID 结构

    • 每个域内的对象(用户、组、计算机等)都有一个唯一的 SID。SID 由 域 SID 和 RID 组成。
    • 用户 1 的 SID:S-1-5-21-<domain>-1000(假设 RID 为 1000)
    • 用户 2 的 SID:S-1-5-21-<domain>-1001(假设 RID 为 1001)
    • 域管理员组的 SID:S-1-5-21-<domain>-500(假设 RID 为 500)

  2. 攻击步骤

    a. 查找高权限组的 RID:攻击者查询 Active Directory,找到目标高权限组的 RID(例如,500 代表“域管理员”)。

    b. 创建低权限用户:攻击者创建一个普通用户,该用户的 RID 被分配为某个较低的值(例如,1000)。

    c. 修改 RID:攻击者通过工具或漏洞将该低权限用户的 RID 修改为 500(域管理员组的 RID),伪装成域管理员组的成员。

    d. 权限提升:一旦 RID 被劫持,攻击者的账号就被认为是域管理员组的一员,实际上获得了域管理员权限。

  3. 权限提升后的结果

    • 攻击者的账户现在具有了域管理员组的权限,能够对整个域控制器进行完全控制,包括修改其他账户的权限、创建新的域管理员等。

RID 劫持攻击的关键点

  • RID 分配不安全:Windows 域控制器在分配 RID 时,通常没有进行充分的权限验证,这使得攻击者能够通过修改 RID 来伪装成其他高权限账户。
  • 默认配置和权限过宽:在某些情况下,域控制器的权限配置过宽,导致普通用户能够修改组成员身份,从而进行 RID 劫持。
  • 权限提升路径:通过 RID 劫持,攻击者能够绕过传统的身份验证机制,直接获得高权限组成员身份,从而实现对整个域环境的完全控制。

防范 RID 劫持

  1. 严格控制域管理员权限:确保只有授权的用户能够修改域内的用户和组的 SID 和 RID。普通用户不应有修改组成员或创建特权账户的权限。

  2. 审计和日志记录:开启 Active Directory 审计,记录所有与 RID 分配、组成员更改和权限提升相关的活动。定期检查域控制器日志以发现潜在的异常行为。

  3. 强制使用最小权限原则:确保用户和管理员只有完成任务所需的最小权限。避免不必要的权限暴露。

  4. 及时更新安全补丁:Windows 操作系统和 Active Directory 的安全补丁应及时安装,防止已知漏洞被攻击者利用。

  5. 使用多因素身份验证:为域管理员和关键系统启用 多因素身份验证,以增加额外的安全层,防止单点攻击。

 

Windows RID 劫持 是一种通过操控 RID 分配机制来提升权限的攻击方式,攻击者通过修改自己创建的低权限用户的 RID,使其伪装成高权限组的一员,从而获得对整个 Windows 域控制器的完全控制。防范该攻击的关键是加强权限管理、审计机制和及时的安全补丁更新。

Windows RID 劫持(RID Hijacking)攻击框架是指攻击者通过操控 Windows 域控制器中分配的 相对标识符(RID),使一个低权限账户能够获得高权限组的访问权限。要深入了解该框架,我们需要从攻击流程、攻击工具、以及如何防范等多个方面进行探讨。

RID 劫持框架

1. 基础概念:RID 和 SID

在 Windows 操作系统中,安全标识符(SID) 用于唯一标识域中的每个对象(如用户、计算机、组等)。SID 由两个部分组成:

  • 域 SID:标识某个特定的 Windows 域。
  • RID(相对标识符):标识域内的具体对象,通常是递增的整数值。

例如,一个域管理员组的 SID 可能是:

Copy Code
S-1-5-21-<domain>-500

其中:

  • S-1-5-21-<domain> 是域 SID。
  • 500 是该组的 RID,表示域管理员组。

2. RID 劫持的基本原理

在 Windows 域中,攻击者的目标是通过 修改 RID 来将一个普通账户或组伪装成一个高权限账户(如域管理员)。这种攻击的基本步骤包括:

  • 创建低权限用户或组:攻击者先在域内创建一个普通用户或组。
  • 查询高权限组的 RID:攻击者通过查询 Active Directory,找出高权限组(如域管理员组)的 RID。
  • 修改 RID:使用工具或漏洞修改低权限账户的 RID,使其与高权限组的 RID 相同。
  • 权限提升:一旦修改完成,攻击者的账户会被认为是该高权限组的成员,从而获得高权限。

3. 攻击步骤

步骤 1:创建普通用户或组

  • 攻击者可以通过常见的方法(如使用 net user 命令或通过 Active Directory 管理工具)创建一个普通用户或组。

步骤 2:查询目标高权限组的 RID

  • 攻击者利用工具(如 PowerShellLDAP 查询Nessus 等)查询 Active Directory,获取特定高权限组(如“域管理员”组)的 RID。

步骤 3:修改用户或组的 RID

  • 攻击者通过特定工具(如 PowerViewMimikatz 等)修改其低权限账户的 RID,使其与高权限组的 RID 相同。

步骤 4:权限提升

  • 一旦 RID 被劫持,攻击者的账户会与高权限组的 SID 匹配,立即获得与该组相关的所有权限(例如,访问控制、域控制器权限等)。

4. 攻击工具

  • PowerView:PowerView 是一个 PowerShell 工具集,常用于枚举 Active Directory 中的用户、组、域控制器、权限等信息。它支持查询高权限组的 RID,并在攻击中扮演重要角色。

  • Mimikatz:Mimikatz 是一个强大的工具,能够提取 Windows 账户的凭据,并提供修改 SID 和 RID 的功能,帮助攻击者执行 RID 劫持。

  • BloodHound:BloodHound 是一个强大的 Active Directory 权限评估工具,可以用来识别和评估 AD 中的攻击路径,帮助攻击者发现权限提升的机会,包括 RID 劫持。

  • Impacket:Impacket 是一个 Python 库,提供了多种与 Windows 网络协议交互的工具,可以用来执行域内的各种攻击,包括 RID 劫持。

5. 攻击框架的详细步骤

  • 攻击前期准备

    1. 信息收集:攻击者首先进行信息收集,通过工具如 PowerView 或 BloodHound,扫描域内的用户、组、域控制器等信息。
    2. 目标识别:攻击者查找具有高权限的组(如“域管理员”、“企业管理员”等),并确定这些组的 RID。

  • 攻击实施阶段

    1. 低权限账户创建:攻击者创建一个普通用户,或者利用现有的低权限用户。
    2. 利用工具修改 RID:使用 Mimikatz 或 PowerView 等工具,通过修改低权限用户的 RID,使其与高权限组(如域管理员组)的 RID 相匹配。

  • 权限提升阶段

    1. 验证权限:攻击者通过查询 SID 和组成员关系,确认自己已经被赋予高权限。
    2. 执行后续攻击:一旦获得域管理员权限,攻击者可以进一步进行横向渗透、提取敏感信息、执行命令等操作。

6. 防范 RID 劫持

  • 最小权限原则:严格限制用户和组的权限,确保普通用户不能执行修改 SID 和 RID 的操作。
  • 加强身份验证:对关键操作(如修改用户组成员身份)实施多因素身份验证,减少权限滥用的风险。
  • 启用审计和监控:开启 Active Directory 审计功能,记录所有与账户、组成员变动相关的操作。定期查看相关日志,发现潜在的异常活动。
  • 更新和打补丁:及时安装操作系统和应用程序的安全更新,防止已知漏洞被利用。
  • 组策略限制:通过组策略限制普通用户对域控制器的访问,特别是对重要权限操作的访问。

7. 常见防御与检测方法

  • 检测 RID 劫持活动:通过监控 Windows 安全日志,特别是与用户组成员身份变动相关的事件,及时发现异常行为。
  • SID 历史监控:通过监控用户 SID 历史变动,发现 RID 被非法篡改的行为。
  • 策略审计:定期审计和检查域内的用户权限和组成员身份,确保没有异常的权限提升或权限转移。

 

Windows RID 劫持 是一种通过修改账户的 RID 来提升权限的攻击手段。攻击者利用该方法绕过权限控制,使低权限账户伪装成高权限组成员。为了防止此类攻击,必须在域控制器和 Active Directory 中严格控制用户权限、启用多因素认证、加强审计和监控,并及时修补安全漏洞。

Windows RID 劫持(RID Hijacking)攻击路径通常涉及从低权限账户提升到高权限账户(如域管理员)的过程。攻击者通过操控 相对标识符(RID) 来伪装成一个高权限组的成员。这个攻击路径涉及多个步骤,包括信息收集、RID 查找、修改和最终权限提升。

Windows RID 劫持攻击路径

  1. 信息收集阶段

    • 目标环境识别:攻击者首先需要识别其目标环境中的 Windows 域。可以通过扫描域控制器、网络和目标机器来获取有关 Active Directory(AD)域的信息。
    • 域环境扫描:利用工具(如 PowerView、BloodHound、Nmap 等)进行 AD 信息收集。此阶段的目标是获得域中所有用户、组和权限等信息。
      • PowerView:通过 PowerShell 脚本,获取 AD 域内用户、组、计算机等信息。
      • BloodHound:识别 AD 中的权限提升路径和潜在的攻击面,帮助攻击者发现是否有与 RID 劫持相关的漏洞。

  2. 查找高权限组的 RID

    • 枚举高权限组:攻击者需要识别域中的高权限组,通常是 域管理员组(Domain Admins) 或 企业管理员组(Enterprise Admins),这些组通常具有高度的权限。
    • RID 查询:通过 LDAP 查询、PowerShell 脚本或 BloodHound 等工具获取高权限组的 RID。常见的高权限组 RID 如:
      • 域管理员组(Domain Admins):通常 RID 为 500
      • 企业管理员组(Enterprise Admins):通常 RID 为 519
    • 其他高权限组:除了域管理员组,还需要检查其他可能的高权限组,例如备份操作员、证书管理员等。

  3. 创建低权限用户或组

    • 攻击者通过工具(如 PowerShell、Net User、Active Directory 管理工具)创建一个普通用户或组。通常,攻击者会选择一个较低权限的帐户来进行 RID 劫持。
    • 创建低权限账户或组的目的是为了将其 RID 修改成高权限组的 RID,从而获得该组的权限。

  4. 修改 RID

    • RID 劫持:通过利用工具(如 Mimikatz、PowerView 或其他自定义工具)来修改低权限账户的 RID,使其与高权限组的 RID 相匹配。这将导致该账户被视为高权限组的成员,从而获得该组的所有权限。
    • 工具使用
      • Mimikatz:可以通过修改账户的 SID(即 RID)来提升权限。
      • PowerView:通过 PowerShell 脚本,修改 Active Directory 中账户的 RID。
      • Impacket:提供了多种攻击和权限提升工具,帮助攻击者修改 RID。

  5. 验证权限提升

    • 攻击者通过查询其账户的 SID,确认其账户是否已被赋予高权限组的成员身份。
    • 权限验证:可以通过 PowerShell、Net Group、whoami 等命令检查当前账户的组成员信息,确保已被赋予域管理员或其他高权限组的权限。

  6. 利用高权限进行横向渗透和后续攻击

    • 一旦权限被提升,攻击者可以进一步进行横向渗透,控制其他机器、提取敏感信息、执行命令等操作。
    • 攻击者也可以利用该高权限账户来获取域控制器权限,甚至控制整个域环境。

防御 RID 劫持攻击的策略

  1. 最小权限原则

    • 限制低权限用户对重要系统和操作的访问权限。确保低权限用户不能创建或修改与高权限组相关的账户。

  2. 多因素身份验证(MFA)

    • 在进行敏感操作时,强制执行多因素认证,确保操作的合法性。

  3. 审计和监控

    • 开启 Active Directory 的审计功能,监控所有与账户、组成员身份相关的操作。尤其是当账户的 SID 或 RID 被修改时,必须能够生成警报。

  4. 定期权限审计

    • 定期对 AD 环境中的用户和组进行权限审计,检查是否存在不正常的权限提升或潜在的 RID 劫持迹象。

  5. 组策略和防护工具

    • 配置组策略限制普通用户访问域控制器或修改域内用户信息的权限。
    • 使用防护工具(如 Windows Defender、EDR 解决方案等)进行主动防御,监测可疑行为。

  6. 安全更新和补丁

    • 保持操作系统和应用程序的安全更新,修补可能被攻击者利用的漏洞。

  7. SID 历史监控

    • 监控 SID 历史记录,确保不发生 RID 劫持行为。特别是当用户或组的 SID 发生异常变动时,要及时发现并响应。

 

RID 劫持攻击路径从信息收集开始,攻击者通过查找高权限组的 RID,并通过修改低权限账户的 RID 来获取高权限。最终,攻击者能够通过 RID 劫持获得域管理员等高权限组的权限,进行后续的横向渗透和其他恶意活动。为防范此类攻击,必须严格控制权限、加强审计和监控,并使用多因素身份验证等防护措施。

在讨论 Windows RID 劫持 的攻击路径时,选型(即如何选择工具和方法来实施或防御 RID 劫持攻击)是非常关键的。这部分将详细讲解攻击者可能使用的工具、方法,以及防御者应如何选择合适的工具和策略来防止或检测这种攻击。

1. 攻击者工具选择(选型)

在进行 RID 劫持 攻击时,攻击者通常会选择以下几类工具:

1.1 Mimikatz

  • 功能:Mimikatz 是一个强大的密码和凭证提取工具,也可以用于执行权限提升攻击。通过 Mimikatz,攻击者可以修改 Active Directory 中的账户 SID,从而实现 RID 劫持。
  • 选型理由
    • Mimikatz 在权限提升和 SID 伪装方面功能强大,可以直接修改账户 SID,伪装成高权限用户或组成员。
    • 其可以用于将低权限用户的 SID 修改为高权限组的 SID,从而实现 RID 劫持。
    • 支持通过 LSASS 进程提取凭证,辅助攻击者在获取提升权限后横向渗透。

1.2 PowerView

  • 功能:PowerView 是一款用于 Active Directory 环境的 PowerShell 脚本工具,它可用于扫描、枚举、控制 AD 环境的权限。
  • 选型理由
    • PowerView 提供了全面的 AD 查询功能,可以帮助攻击者轻松查找高权限组的 RID(如 Domain Admins 组的 RID)以及查询当前账户的 SID。
    • 通过 PowerView,攻击者可以快速获得 AD 中的权限信息,并进行 RID 攻击。
    • 它的脚本化操作简便、强大,能够帮助攻击者在目标环境内执行大量侦查和攻击活动。

1.3 Impacket

  • 功能:Impacket 是一个集合了多种网络协议攻击和渗透测试的工具集,包含了多种实现权限提升的功能。
  • 选型理由
    • Impacket 提供了能够直接操作 Active Directory 账户和权限的工具,支持修改 SID 以实现 RID 劫持。
    • 其工具如 GetADUsers 和 NetSession 等功能可以帮助攻击者获取域内的信息,并提供权限提升途径。

1.4 BloodHound

  • 功能:BloodHound 是一款帮助渗透测试人员发现 Active Directory 环境中权限提升路径的工具。它通过图形化的方式展示攻击者可能通过权限提升手段获得更高权限的路径。
  • 选型理由
    • BloodHound 能帮助攻击者识别出 AD 环境中存在的 RID 劫持路径。
    • 通过分析攻击面,发现潜在的低权限用户或账户是否可以被提升为高权限组成员(如 Domain Admins)。
    • 其图形化界面便于理解和操作,适用于渗透测试团队进行AD环境的权限评估。

2. 防御者工具选择(选型)

为防范 RID 劫持 攻击,防御者需要选择合适的工具和策略来加强监控、审计和权限管理。

2.1 Windows Defender

  • 功能:Windows Defender 是微软自带的防病毒和安全防护工具,提供多层次的防御。
  • 选型理由
    • Windows Defender 可以检测和阻止恶意行为,包括权限提升和不正常的 SID 修改。
    • 配置 Windows Defender 实时监控和行为检测(EDR)可帮助识别可能的 RID 劫持行为。

2.2 Event Logging 和 SIEM 系统

  • 功能:启用 Windows 的安全事件日志记录(如登录、组成员变更、SID 修改等)并结合 SIEM(安全信息和事件管理)系统进行分析。
  • 选型理由
    • 通过启用 Active Directory 的 对象访问审计 和 目录服务访问审计,可以对 AD 中的用户组成员变更、SID 更改等敏感操作进行详细记录。
    • SIEM 系统可以实时监控这些事件,并在出现异常的 RID 劫持活动时发出警报。

2.3 BloodHound

  • 功能:虽然 BloodHound 主要是渗透测试工具,但它同样可以作为防御工具使用,帮助识别 AD 中潜在的权限提升路径。
  • 选型理由
    • 防御人员可以使用 BloodHound 扫描和评估自己的 AD 环境,发现可能的 RID 劫持攻击路径。
    • 它提供了图形化的权限关系图,可以帮助防御者识别权限泄漏、过度权限等问题,及时进行修复。

2.4 Active Directory 环境的安全配置

  • 功能:通过配置 Active Directory 组策略(GPO)、最小权限原则等方法来限制用户的权限,防止恶意操作。
  • 选型理由
    • 配置 Active Directory 的 最低权限 和 分层管理,限制普通用户修改账户 SID 或加入高权限组的能力。
    • 使用 GPO 强制执行密码复杂度要求、禁用不必要的账户和权限提升途径,减少攻击面。
    • 限制对域控制器和关键系统的访问权限,防止低权限用户通过 RID 劫持获得高权限。

2.5 多因素认证(MFA)

  • 功能:为所有具有管理员权限的账户启用多因素认证。
  • 选型理由
    • 通过启用 MFA,可以增加账户访问的安全性,即使攻击者通过 RID 劫持获得高权限账户的 SID,也需要通过额外的身份验证来执行恶意操作。
    • MFA 对防止账户被滥用具有显著作用,尤其在高权限用户账户上尤为重要。

3. 防范策略总结

  1. 严格控制用户权限:应用最小权限原则,确保用户只能执行他们工作所需的操作。
  2. 启用审计日志:详细记录所有 AD 变更,包括账户的 SID 修改、组成员的添加和删除等。
  3. 权限定期审计:定期检查 AD 环境中的用户权限,确保没有不当的权限提升。
  4. 强化认证:使用多因素认证(MFA)来防止低权限用户通过 RID 劫持获得高权限。
  5. 行为检测工具:结合 Windows Defender、SIEM 系统等工具,进行实时监控,识别异常行为。

 

RID 劫持攻击是一种通过修改账户 SID 来提升权限的攻击方式。攻击者可以选择 Mimikatz、PowerView、Impacket 等工具来实施该攻击。防御者应选择适当的防护策略和工具,如启用审计、加强访问控制、使用多因素认证等,来防止此类攻击发生并进行实时监控和响应。

 

posted @ 2024-11-23 23:40  suv789  阅读(23)  评论(0编辑  收藏  举报