zBang:可检测潜在特权帐户威胁的风险评估工具

zBang是一个用于检测扫描网络中潜在特权帐户威胁的风险评估工具,组织或红队可利用zBang来识别潜在的攻击向量改善网络的安全状况,并可通过图形界面或查看原始输出文件来分析结果。

关于zBang的更详细介绍,请参阅 @Hechtov 的博文: https://www.cyberark.com/threat-research-blog/the-big-zbang-theory-a-new-open-source-tool/

该工具由五个不同的扫描模块构建:

ACLight scan- 发现必须受保护的最高权限帐户,包括可疑的Shadow Admins。

Skeleton Key scan- 发现可能被Skeleton Key恶意软件感染的域控制器。

SID History scan- 使用secondary SID(SID历史记录属性)发现域帐户中的隐藏权限。

RiskySPNs scan- 发现可能导致域管理员凭据窃取的SPN风险配置。

Mystique scan- 发现网络中有风险的Kerberos委派配置。

执行要求

与域用户一起运行它。扫描不需要任何额外的权限;该工具对DC执行只读LDAP查询。

从已加入域的计算机(Windows计算机)运行该工具。

PowerShell version 3或更高版本,以及.NET 4.5(默认情况下在Windows 8/2012及更高版本中提供)。

快速入门指南

1. 从GitHub下载并运行最新版或使用你喜欢的编译器进行编译。

2. 在打开的界面中,选择你要执行的扫描。在以下示例中,选中了所有五个扫描模块:

3. 要查看演示结果,请单击“Reload”。zBang工具带有内置的启动演示数据;你可以查看不同扫描的结果并使用图形界面进行播放。

4. 要在网络中启动新扫描,请单击“Launch”。这将弹出一个新窗口,并显示不同扫描的状态。

5. 扫描完成后,将显示一条消息说明结果已导出到外部zip文件。

6. zip文件位于zBang的同一文件夹中,并且具有唯一的名称,其中包含扫描的时间和日期。你还可以将先前的结果导入zBang GUI,而无需重新运行扫描。要导入先前的结果,请在zBang的打开界面中单击“Import”。

zBang结果浏览

A. ACLight scan

1. 选择你扫描的域。

2. 你将看到一个已发现的最高权限帐户的列表。

3. 在左侧 – 查看“standard”标准权限帐户由于其组成员身份而获得的权限。

4. 在右侧 – 查看“Shadow Admins”这些帐户通过直接ACL权限分配获得其权限。这些帐户可能比标准的“域管理员”用户更隐蔽,因此它们并不安全并常常成为攻击者的首要目标。

5. 在每个帐户上,你可以双击查看其权限拓扑图。

6. 在一个帮助页面中描述了不同的可滥用ACL权限。点击右上角的“问号”查看:

7. 更多有关Shadow Admins的内容,请参阅博文: https://www.cyberark.com/threat-research-blog/shadow-admins-stealthy-accounts-fear/

8. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查results文件夹:“[zip文件保存路径]\ACLight-master\Results”,包含摘要报告 -“特权帐户 – Layers Analysis.txt”。

9. 在每个发现的特权帐户上:

识别特权帐户。

减少帐户的不必要权限。

确保帐户安全。验证这三个步骤后,你可以在小选择框中用“V”标记该帐户,并在界面上将其设置为绿色。

10. 我们的目标是让所有的帐户都被标记为安全的绿色。

B. Skeleton Key scan

1. 在扫描页面中(单击上一部分中的相关书签),将显示所有已扫描的DC列表。

2. 确保所有这些都被标为绿色。

3. 如果扫描发现潜在的受感染DC,启动调查进程至关重要。

4.有关Skeleton Key恶意软件的详细信息,请参阅@PyroTek3的博文: https://adsecurity.org/?p=1255

C. SID History scan

1. 在该扫描页面中,将有一个具有secondary SID(SID历史记录属性)的域帐户列表。

2. 每个帐户都有两个连接箭头,左边一个用于其主SID;另一个则用于其secondary SID(带有面具图标)。

3. 如果主SID具有特权,则它将为红色,如果SID历史记录具有特权,则将显示为红色面具。

4. 你应该搜索可能存在风险的情况,例如帐户具有非特权主SID,但同时具有特权secondary SID。这就需要注意了,你应该检查该帐户并调查它具有特权secondary SID的原因,以确保网络中的潜在入侵者没有添加它。

*为了方便可视化,如果存在大量具有非特权SID历史记录的帐户(超过十个),它们将会被从显示中过滤掉,因为这些帐户并不那么敏感。

5. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\SIDHistory\Results\Report.csv”。

6. 有关滥用SID History的更多信息,请参阅Ian Farr的博文: https://blogs.technet.microsoft.com/poshchap/2015/12/04/security-focus-sidhistory-sid-filtering-sanity-check-part-1-aka-post-100/

D. RiskySPNs scan

1. 在扫描结果页面中,将显示所有使用用户帐户注册的SPN列表。

2. 如果用户帐户是特权帐户,则该帐户将显示为红色。

3. 拥有在特权帐户下注册的SPN是非常危险的。尝试更改/禁用这些SPN。为SPN使用计算机帐户或减少已向其注册了SPN的用户的不必要权限。另外,建议为这些用户分配强密码,并实现每个密码的自动轮换。

4. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\RiskySPN-master\Results\RiskySPNs-test.csv”。

5. 有关SPN安全的更多信息,请参阅博文: https://www.cyberark.com/blog/service-accounts-weakest-link-chain/

E. Mystique scan

1. 扫描结果页面包含受委派权限信任的所有已发现帐户的列表。

2. 有三种委派类型:无约束,约束和约束协议转换。帐户颜色对应于其委派权限类型。

3. 禁用受委派权限信任的旧帐户和未使用帐户。特别是检查“无约束”和“约束协议转换”的风险委派类型。将“无约束”委派转换为“约束”委派,仅允许用于特定的所需服务。如果可能,必须重新验证和禁用“协议转换”类型的委派。

4. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\Mystique-master\Results\delegation_info.csv”。

5. 有关风险委派配置的更多信息,请参阅博文: https://www.cyberark.com/threat-research-blog/weakness-within-kerberos-delegation/

*参考来源: GitHub ,FB小编secist编译,转载请注明来自FreeBuf.COM

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章