🏰 AD Attack Patterns

Типичные атаки на Active Directory и методы их обнаружения

🔑

Credential Access Attacks

Kerberoasting CRITICAL
Запрос Service Tickets (TGS) для учетных записей служб с последующим offline взломом паролей
🎯 Техника атаки:
  • Поиск SPN через setspn или LDAP
  • Запрос TGS для найденных SPN
  • Извлечение хешей из tickets
  • Offline brute-force (hashcat/john)
🛡️ Детекция:
  • Event ID 4769 с RC4 encryption
  • Множественные TGS запросы
  • Аномальные SPN запросы
T1558.003
AS-REP Roasting CRITICAL
Атака на учетные записи без Kerberos предаутентификации для получения AS-REP хешей
🎯 Техника атаки:
  • Поиск учеток с UF_DONT_REQUIRE_PREAUTH
  • Запрос AS-REQ без pre-auth
  • Получение AS-REP с encrypted data
  • Offline password cracking
🛡️ Детекция:
  • Event ID 4768 без pre-auth
  • Мониторинг изменений UserAccountControl
  • LDAP queries на vulnerable accounts
T1558.004
Password Spraying HIGH
Попытка входа с одним паролем для множества учетных записей
🎯 Техника атаки:
  • Сбор списка пользователей
  • Использование common passwords
  • Соблюдение lockout threshold
  • Распределение по времени
🛡️ Детекция:
  • Event ID 4625 patterns
  • Single password, multiple users
  • Failed logons ниже lockout
T1110.003
DCSync CRITICAL
Имитация Domain Controller для репликации учетных данных через MS-DRSR
🎯 Техника атаки:
  • Требует прав DS-Replication-Get-Changes
  • Использование Mimikatz DCSync
  • Извлечение NTLM хешей
  • Получение Kerberos keys
🛡️ Детекция:
  • Event ID 4662 на DC
  • Non-DC источник репликации
  • DS-Replication-Get-Changes-All
T1003.006
🎫

Kerberos Attacks

Golden Ticket CRITICAL
Создание поддельного TGT с использованием KRBTGT hash для полного контроля домена
🎯 Техника атаки:
  • Компрометация KRBTGT hash
  • Создание TGT с любыми привилегиями
  • Lifetime до 10 лет
  • Работает даже после смены паролей
🛡️ Детекция:
  • TGT с аномальным lifetime
  • Event ID 4769 от несуществующих TGT
  • Логоны после отключения учетки
T1558.001
Silver Ticket HIGH
Создание поддельного Service Ticket для доступа к конкретному сервису
🎯 Техника атаки:
  • Требует service account NTLM hash
  • Создание TGS для целевого сервиса
  • Обход DC при аутентификации
  • PAC manipulation возможна
🛡️ Детекция:
  • Отсутствие Event ID 4769 на DC
  • Service logon без TGS request
  • PAC validation errors
T1558.002
Overpass-the-Hash MEDIUM
Использование NTLM хеша для получения Kerberos TGT
🎯 Техника атаки:
  • NTLM hash вместо пароля
  • Запрос легитимного TGT
  • Дальнейшее использование Kerberos
  • Выглядит как обычная аутентификация
🛡️ Детекция:
  • Event ID 4768 с RC4 encryption
  • Необычное время входа
  • Аномальный источник запроса
T1550.002
🔐

Privilege Escalation

AdminSDHolder Abuse CRITICAL
Модификация AdminSDHolder для persistence в привилегированных группах
🎯 Техника атаки:
  • Изменение ACL AdminSDHolder
  • SDProp распространяет права
  • Persistence через 60 минут
  • Влияет на protected groups
🛡️ Детекция:
  • Event ID 5136 на AdminSDHolder
  • Изменения nTSecurityDescriptor
  • Мониторинг protected groups ACL
T1078.002
SID History Injection HIGH
Добавление привилегированных SID в SIDHistory для повышения прав
🎯 Техника атаки:
  • Требует DA или эквивалент
  • Добавление Enterprise Admin SID
  • Работает через trust границы
  • Persistence механизм
🛡️ Детекция:
  • Event ID 4765, 4766
  • Аномальные SIDHistory значения
  • Cross-domain SIDs
T1134.005
GPO Abuse HIGH
Создание или модификация Group Policy для выполнения кода или persistence
🎯 Техника атаки:
  • Создание вредоносных GPO
  • Scheduled tasks через GPO
  • Immediate tasks для RCE
  • Computer/User startup scripts
🛡️ Детекция:
  • Event ID 5136, 5137 (GPO changes)
  • Новые GPO в домене
  • Изменения в SYSVOL
T1484.001
🌐

Lateral Movement

Pass-the-Hash HIGH
Использование NTLM хешей для аутентификации без знания пароля
🎯 Техника атаки:
  • Извлечение NTLM из LSASS
  • Использование в SMB/RDP
  • WMI/PSExec для выполнения
  • Mimikatz sekurlsa::pth
🛡️ Детекция:
  • Event ID 4624 Type 3 NTLM
  • Аномальные NTLM connections
  • Pass-the-hash tools в памяти
T1550.002
Pass-the-Ticket HIGH
Кража и повторное использование Kerberos tickets
🎯 Техника атаки:
  • Экспорт tickets из памяти
  • Импорт в другой сессии
  • Обход повторной аутентификации
  • TGT/TGS manipulation
🛡️ Детекция:
  • Unusual ticket usage patterns
  • Same ticket from multiple IPs
  • Event ID 4768/4769 anomalies
T1550.003
DCOM Lateral Movement MEDIUM
Использование DCOM для удаленного выполнения кода
🎯 Техника атаки:
  • MMC20.Application COM object
  • ShellWindows/ShellBrowserWindow
  • Excel.Application для RCE
  • Outlook.Application abuse
🛡️ Детекция:
  • DCOM network connections
  • Sysmon Event ID 11 (RPC)
  • Unusual mmc.exe spawns
T1021.003
🎭

Persistence & Defense Evasion

Skeleton Key CRITICAL
Инъекция "мастер-пароля" в LSASS на Domain Controller
🎯 Техника атаки:
  • Требует доступ к DC
  • Patch LSASS в памяти
  • Работает пароль "mimikatz"
  • Не меняет реальные пароли
🛡️ Детекция:
  • LSASS memory modifications
  • System event 7045 (service)
  • Successful logons с известным паролем
T1556.001
DCShadow HIGH
Регистрация rogue Domain Controller для изменения AD объектов
🎯 Техника атаки:
  • Регистрация fake DC
  • Изменение объектов через репликацию
  • Обход логирования
  • Удаление следов
🛡️ Детекция:
  • Новые nTDSDSA объекты
  • Event ID 4742 (computer changes)
  • Unusual replication sources
T1207
DSRM Password Abuse MEDIUM
Использование Directory Services Restore Mode пароля для persistence
🎯 Техника атаки:
  • Изменение DsrmAdminLogonBehavior
  • Вход как локальный администратор
  • Работает на DC
  • Обход domain policies
🛡️ Детекция:
  • Registry changes in HKLM\System
  • Local logons на DC
  • DSRM password changes
T1003.003

📊 Key Windows Events для детекции AD атак

🔐
Authentication Events
  • 4624 Successful logon
  • 4625 Failed logon
  • 4768 Kerberos TGT request
  • 4769 Kerberos service ticket
  • 4771 Kerberos pre-auth failed
👥
Account Management
  • 4720 User account created
  • 4728 Member added to group
  • 4732 Member added to local group
  • 4756 Member added to universal group
  • 4767 User account unlocked
🛡️
Privilege Use
  • 4672 Special privileges assigned
  • 4673 Privileged service called
  • 4674 Operation attempted on object
📝
Directory Service
  • 4662 Directory service access
  • 5136 Directory object modified
  • 5137 Directory object created
  • 5141 Directory object deleted

🛠️ AD Attack & Defense Tools

🔴 Attack Tools
Mimikatz - credential extraction, ticket manipulation
Rubeus - Kerberos abuse toolkit
BloodHound - AD relationship mapping
PowerSploit - PowerShell post-exploitation
Impacket - Python AD exploitation
🔵 Defense Tools
Microsoft ATA/Defender for Identity
PingCastle - AD security assessment
Purple Knight - AD security scanner
ADACLScanner - Permission auditing
Forest Druid - AD hardening
🟢 Detection Tools
Sysmon - Enhanced Windows logging
WEF - Windows Event Forwarding
Palantir - Windows Event Log analysis
DeepBlueCLI - PowerShell event analysis
ADRecon - AD reconnaissance detection
🟡 Monitoring Tools
Event ID 4662 monitoring scripts
Honeytokens/Honeypots for AD
Canary tokens in AD objects
AD change monitoring solutions
SIEM correlation rules for AD