引言 ?

Active Directory（AD）是企業IT環境中用戶認證、訪問控制和身份管理的核心。因其掌握整個網絡的"鑰匙"，AD常成為攻擊者的首要目標。 ?

從憑證轉儲到隱蔽偵察，攻擊者通過多種手段控制AD。無論您是網絡安全分析師、紅隊成員還是系統管理員，理解這些攻擊手法對防御基礎設施至關重要。 ?

本文將詳解十大常見Active Directory攻擊技術——運作原理、危害性及防御措施。 ?

? Active Directory為何成為攻擊目標？ ?
Active Directory是微軟的目錄服務，用于Windows網絡中的用戶認證、權限和資源管理。一旦控制AD，攻擊者可： ?
- 橫向滲透內網 ?
- 提權至域管理員 ?
- 訪問機密文件與系統 ?
- 維持長期駐留 ?

十大Active Directory攻擊手法詳解 ?

1. Kerberoasting ?
攻擊者通過請求SPN（服務主體名稱）的服務票據并離線破解服務賬戶密碼，且不觸發警報。 ?
工具：Rubeus ?
防護：使用高強度服務賬戶密碼并監控票據請求。 ?

實例：
攻擊者通過PowerShell腳本請求所有SPN賬戶的TGS票據，獲取到SQL服務賬戶MSSQL_SVC的加密票據后，使用Hashcat在GPU集群上離線爆破，6小時后破解出弱密碼$QL_Admin!2023，進而控制數據庫服務器。

Rubeus.exe kerberoast /outfile:hashes.txt

2. 密碼噴灑(Password Spraying) ?
攻擊者用少量通用密碼嘗試大量賬戶，規避賬戶鎖定機制。 ?
工具：CrackMapExec、Hydra ?
防護：啟用多因素認證(MFA)及嚴格密碼策略。 ?

實例：
攻擊者使用公司名稱Company2025!作為通用密碼，針對500個AD賬戶發起認證嘗試，最終突破3個未啟用MFA的VPN賬戶，其中包括一名財務部員工。
典型攻擊日志特征：
同一IP在短時間內對多個賬戶使用相同密碼登錄失敗。

3. LLMNR/NBT-NS投毒 ?
劫持本地網絡名稱解析以竊取NTLM哈希。攻擊者偽造名稱解析響應。 ?
工具：Responder ?
防護：通過組策略禁用LLMNR和NBT-NS。 ?

實例：
內網用戶誤輸入共享路徑\\fileshare01（正確名為\\fileshare1），攻擊者通過Responder工具偽造響應，誘騙用戶發送NTLMv2哈希，隨后用該哈希通過PtH攻擊入侵文件服務器。
數據包特征：
LLMNR協議響應來自非真實文件服務器的IP。

4. 哈希傳遞(Pass-the-Hash, PtH) ?
直接使用NTLM哈希而非明文密碼進行身份驗證。 ?
工具：Mimikatz ?
防護：啟用Windows Credential Guard并設置唯一本地管理員密碼。 ?

實例：
攻擊者從已攻陷的IT運維工作站內存中提取本地管理員哈希aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0，通過Mimikatz直接登錄域控服務器。
防御關鍵：
啟用Credential Guard后，Mimikatz無法提取內存中的明文憑據。

5. 默認憑證攻擊 ?
利用設備/服務的默認賬號密碼（如admin:admin）入侵。 ?
防護：部署系統前修改所有默認憑證。 ?

實例：
新部署的NAS設備未修改默認憑證admin:admin123，攻擊者通過Shodan搜索暴露在公網的該設備，上傳WebShell后進一步滲透內網。
常見目標：
路由器、攝像頭、IoT設備的管理界面。

6. 硬編碼憑證 ?
開發者將憑證嵌入腳本或代碼庫導致泄露。 ?
風險：常見于DevOps流程 ?
防護：使用密鑰管理工具（如HashiCorp Vault）。

實例：
某公司GitHub代碼倉庫中泄露了包含數據庫連接字符串的配置文件：

<connectionString>Server=DB01;User=sa;Password=P@ssw0rd123</connectionString>

?

7. 權限提升 ?
攻擊者利用漏洞或配置錯誤獲取更高域權限。 ?
方法：令牌模擬、DACL配置錯誤 ?
防護：定期審計、強化組策略。 ?

實例：
攻擊者發現某服務賬戶對域控的ACL配置錯誤（允許修改組策略），通過PowerShell添加自己的賬戶到Domain Admins組：

Add-ADGroupMember "Domain Admins" -Members "Hacker_Account"

8. LDAP偵察 ?
通過LDAP查詢獲取用戶/組/權限信息（無需高權限）。 ?
工具：ldapsearch、PowerView ?
防護：限制普通用戶讀取權限并監控LDAP查詢。 ?

實例：
攻擊者使用低權限賬戶執行LDAP查詢，獲取所有高權限賬戶列表：

ldapsearch -h dc01 -x -b "dc=example,dc=com" "(memberOf=CN=Domain Admins,CN=Users)"

9. BloodHound偵察 ?
利用圖論分析AD中的權限路徑，快速定位域管理員提權路徑。 ?
工具：BloodHound ?
防護：清理冗余權限，使用Azure ATP檢測。 ?

實例：
BloodHound分析顯示，開發部門的DEV_Test服務賬戶可通過嵌套組關系間接獲得域控寫入權限。攻擊者利用此路徑在15分鐘內完成提權。
可視化證據：
BloodHound生成的權限繼承圖中存在DEV_Test → Domain Admins的紅色攻擊路徑。

10. NTDS.dit提取 ?
從域控制器提取存儲所有域憑證的NTDS.dit文件離線破解。 ?
工具：SecretsDump、Mimikatz ?
防護：限制域控制器物理/遠程訪問，監控卷影拷貝操作。 ?

實例：
攻擊者通過漏洞獲得域控的SYSTEM權限后，創建卷影副本提取C:\Windows\NTDS\ntds.dit文件，結合注冊表中的SYSTEM密鑰，使用secretsdump.py破解出全部域用戶哈希。
檢測指標：
域控服務器出現異常的vssadmin.exe進程創建記錄。

Active Directory安全防護策略 ?

攻擊常用工具 ?

- Mimikatz：憑證轉儲與令牌操縱 ?
- Rubeus：Kerberos票據攻擊 ?
- Responder：LLMNR/NBT-NS欺騙 ?
- BloodHound：AD關系圖譜分析 ?
- Impacket/SecretsDump：NTDS.dit提取 ?

常見問題解答（FAQ） ?

Q：什么是Active Directory攻擊？ ?
A：指利用微軟AD身份管理系統的漏洞獲取未授權訪問、提權或橫向移動的行為。 ?

Q：為何AD常被黑客攻擊？ ?
A：AD控制關鍵系統和數據的訪問權限，一旦失守意味著整個IT基礎設施淪陷。 ?

Q：如何防御哈希傳遞(PtH)攻擊？ ?
A：啟用Credential Guard并確保本地管理員密碼唯一。 ?

Q：BloodHound對攻擊者有何價值？ ?
A：通過可視化AD權限關系圖，快速發現隱蔽的提權路徑。 ?