基于AD Event日志识别域用户密码攻击_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

基于AD Event日志识别域用户密码攻击

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


基于AD Event日志识别域用户密码攻击

01、简介 针对域用户密码攻击,攻击者通常都会使用两种攻击方式进行测试,即:暴力破解(Brute Force)和密码喷洒(Password Spraying)。 暴力破解(Brute Force)攻击,攻击者通过利用大量猜测和穷举的方式来尝试获取用户口令。密码喷洒(Password Spraying)攻击,针对不同的用户账户使用一两个通用密码进行自动化密码猜测,以此来避免单个账户连续密码猜测被锁定,提高密码猜测的成功率。 暴力破解与密码喷洒的区别在于,暴力破解(Brute Force)攻击是固定用户名,快速检查大量密码进行匹配,而密码喷洒(Password Spraying)攻击则是固定密码,遍历用户名进行验证。 02、攻击过程示例 在Windows中,最常见的两种认证体系便是NTLM认证和Kerberos认证,针对登录认证过程中产生的日志进行分析,以制定对应的检测规则。 (1)基于NTLM认证进行暴力破解 NTLM是一种网络认证协议,支持多种协议,例如:SMB、LDAP、HTTP等。AD域本身就是LDAP的一个应用实例,这里我们通过LDAP服务爆破域用户密码。 域用户暴力破解(Brute Force)攻击示例: Windows安全日志: 开启审核策略,Windows安全日志会产生相应的审核日志,帐户登录失败,事件ID为2625,账户登录成功,事件ID为4624。 事件ID:4625 登录失败,日志里包含尝试登录的账号名称和域、登录类型和登录进程、登录的计算机名和登录IP地址。 事件ID:4624 登录成功,包括登录的用户名和域、登录类型、登录进程、身份验证包、登录的计算机名和登录IP地址。 (2)基于Kerberos预身份验证进行密码喷洒 Kerberos相比于NTLM而言,Kerberos的认证过程会相对复杂一些,这里我们通过Kerberos预身份验证快速执行密码喷洒攻击。 域用户密码喷洒(Password Spraying)攻击示例: Windows安全日志: 开启审核策略,Windows安全日志会产生Kerberos身份验证服务的日志, 域用户不存在,会产生一条事件ID为4768(审核失败)的日志记录。 域用户存在,密码错误,会产生一条事件ID为4771(审核失败)的日志记录。 域用户存在,密码正确,会产生两条事件ID为4768(审核成功),一条事件ID为4769(审核成功)的日志记录 03、攻击检测 通过模拟环境产生攻击事件,以攻击日志构建规则,提取关键特征,设定简单的阈值,就可以实现实时检测域用户密码攻击行为。 (1)暴力破解(Brute Force) 检测策略:在五分钟内,单一用户的密码登录失败次数超过10。 (2)密码喷洒(Password Spraying)检测策略:在五分钟内,单一来源IP认证失败错误超过50。 文章来源:Bypass 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

基于AD Event日志识别域用户密码攻击