【安全资讯】ShadowHound:提升Active Directory侦察的隐秘与高效工具

安恒恒脑 2024-11-30 19:01:12 88人浏览

概要:

在网络安全领域,Active Directory(AD)侦察的隐秘性和有效性至关重要。传统方法常常依赖外部二进制文件,增加了被高级端点检测与响应(EDR)系统发现的风险。ShadowHound作为一种新兴工具,通过利用本地PowerShell功能和合法工具,能够在最小化足迹的同时获取AD数据,为BloodHound分析提供支持。

主要内容:

ShadowHound的出现应对了AD侦察中的隐秘性挑战。BloodHound是一个广泛使用的工具,用于可视化AD关系并识别潜在攻击路径,依赖于用户、组、计算机及其复杂连接的全面数据。ShadowHound通过两种方法进行数据采集:

1. Active Directory Web Services(ADWS):利用Active Directory模块中的Get-ADObject cmdlet,通过9389端口与AD进行通信,充分利用PowerShell的内置功能,减少被检测的风险。

2. 轻量级目录访问协议(LDAP):通过DirectorySearcher类直接对AD域控制器执行LDAP查询,避免依赖外部工具,进一步降低了触发警报的可能性。

ShadowHound的优势在于其有效规避EDR检测,能够在大型AD环境中表现出色,克服连接挑战,确保数据收集的高效性。此外,ShadowHound还通过精心选择的LDAP过滤器,降低了在Microsoft Defender for Identity中触发警报的风险。通过与pyLdapSearch的集成,ShadowHound为安全专业人员提供了先进的分析能力,进一步提升了AD侦察的效率和隐秘性。
APT 数据泄露 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。