zBang:可检测潜在特权帐户威胁的风险评估工具
source link: https://www.freebuf.com/sectool/193504.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
zBang是一个用于检测扫描网络中潜在特权帐户威胁的风险评估工具,组织或红队可利用zBang来识别潜在的攻击向量改善网络的安全状况,并可通过图形界面或查看原始输出文件来分析结果。
关于zBang的更详细介绍,请参阅 @Hechtov 的博文: https://www.cyberark.com/threat-research-blog/the-big-zbang-theory-a-new-open-source-tool/
该工具由五个不同的扫描模块构建:
ACLight scan- 发现必须受保护的最高权限帐户,包括可疑的Shadow Admins。
Skeleton Key scan- 发现可能被Skeleton Key恶意软件感染的域控制器。
SID History scan- 使用secondary SID(SID历史记录属性)发现域帐户中的隐藏权限。
RiskySPNs scan- 发现可能导致域管理员凭据窃取的SPN风险配置。
Mystique scan- 发现网络中有风险的Kerberos委派配置。
执行要求
与域用户一起运行它。扫描不需要任何额外的权限;该工具对DC执行只读LDAP查询。
从已加入域的计算机(Windows计算机)运行该工具。
PowerShell version 3或更高版本,以及.NET 4.5(默认情况下在Windows 8/2012及更高版本中提供)。
快速入门指南
1. 从GitHub下载并运行最新版或使用你喜欢的编译器进行编译。
2. 在打开的界面中,选择你要执行的扫描。在以下示例中,选中了所有五个扫描模块:
3. 要查看演示结果,请单击“Reload”。zBang工具带有内置的启动演示数据;你可以查看不同扫描的结果并使用图形界面进行播放。
4. 要在网络中启动新扫描,请单击“Launch”。这将弹出一个新窗口,并显示不同扫描的状态。
5. 扫描完成后,将显示一条消息说明结果已导出到外部zip文件。
6. zip文件位于zBang的同一文件夹中,并且具有唯一的名称,其中包含扫描的时间和日期。你还可以将先前的结果导入zBang GUI,而无需重新运行扫描。要导入先前的结果,请在zBang的打开界面中单击“Import”。
zBang结果浏览
A. ACLight scan
1. 选择你扫描的域。
2. 你将看到一个已发现的最高权限帐户的列表。
3. 在左侧 – 查看“standard”标准权限帐户由于其组成员身份而获得的权限。
4. 在右侧 – 查看“Shadow Admins”这些帐户通过直接ACL权限分配获得其权限。这些帐户可能比标准的“域管理员”用户更隐蔽,因此它们并不安全并常常成为攻击者的首要目标。
5. 在每个帐户上,你可以双击查看其权限拓扑图。
6. 在一个帮助页面中描述了不同的可滥用ACL权限。点击右上角的“问号”查看:
7. 更多有关Shadow Admins的内容,请参阅博文: https://www.cyberark.com/threat-research-blog/shadow-admins-stealthy-accounts-fear/
8. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查results文件夹:“[zip文件保存路径]\ACLight-master\Results”,包含摘要报告 -“特权帐户 – Layers Analysis.txt”。
9. 在每个发现的特权帐户上:
识别特权帐户。
减少帐户的不必要权限。
确保帐户安全。验证这三个步骤后,你可以在小选择框中用“V”标记该帐户,并在界面上将其设置为绿色。
10. 我们的目标是让所有的帐户都被标记为安全的绿色。
B. Skeleton Key scan
1. 在扫描页面中(单击上一部分中的相关书签),将显示所有已扫描的DC列表。
2. 确保所有这些都被标为绿色。
3. 如果扫描发现潜在的受感染DC,启动调查进程至关重要。
4.有关Skeleton Key恶意软件的详细信息,请参阅@PyroTek3的博文: https://adsecurity.org/?p=1255
C. SID History scan
1. 在该扫描页面中,将有一个具有secondary SID(SID历史记录属性)的域帐户列表。
2. 每个帐户都有两个连接箭头,左边一个用于其主SID;另一个则用于其secondary SID(带有面具图标)。
3. 如果主SID具有特权,则它将为红色,如果SID历史记录具有特权,则将显示为红色面具。
4. 你应该搜索可能存在风险的情况,例如帐户具有非特权主SID,但同时具有特权secondary SID。这就需要注意了,你应该检查该帐户并调查它具有特权secondary SID的原因,以确保网络中的潜在入侵者没有添加它。
*为了方便可视化,如果存在大量具有非特权SID历史记录的帐户(超过十个),它们将会被从显示中过滤掉,因为这些帐户并不那么敏感。
5. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\SIDHistory\Results\Report.csv”。
6. 有关滥用SID History的更多信息,请参阅Ian Farr的博文: https://blogs.technet.microsoft.com/poshchap/2015/12/04/security-focus-sidhistory-sid-filtering-sanity-check-part-1-aka-post-100/
D. RiskySPNs scan
1. 在扫描结果页面中,将显示所有使用用户帐户注册的SPN列表。
2. 如果用户帐户是特权帐户,则该帐户将显示为红色。
3. 拥有在特权帐户下注册的SPN是非常危险的。尝试更改/禁用这些SPN。为SPN使用计算机帐户或减少已向其注册了SPN的用户的不必要权限。另外,建议为这些用户分配强密码,并实现每个密码的自动轮换。
4. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\RiskySPN-master\Results\RiskySPNs-test.csv”。
5. 有关SPN安全的更多信息,请参阅博文: https://www.cyberark.com/blog/service-accounts-weakest-link-chain/
E. Mystique scan
1. 扫描结果页面包含受委派权限信任的所有已发现帐户的列表。
2. 有三种委派类型:无约束,约束和约束协议转换。帐户颜色对应于其委派权限类型。
3. 禁用受委派权限信任的旧帐户和未使用帐户。特别是检查“无约束”和“约束协议转换”的风险委派类型。将“无约束”委派转换为“约束”委派,仅允许用于特定的所需服务。如果可能,必须重新验证和禁用“协议转换”类型的委派。
4. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\Mystique-master\Results\delegation_info.csv”。
5. 有关风险委派配置的更多信息,请参阅博文: https://www.cyberark.com/threat-research-blog/weakness-within-kerberos-delegation/
*参考来源: GitHub ,FB小编secist编译,转载请注明来自FreeBuf.COM
Recommend
-
65
组织不必花费太多时间评估网络安全情况,以了解自身业务安全。因为无论组织的规模多大,在这种环境下都面临着巨大的风险。但是,知道风险有多大吗?
-
24
前言 信息安全是网络发展和信息化进程的产物,近几年,无论是国家层面,还是企业本身,都对信息安全愈发的重视。风险管理的理念也逐步被引入到信息安全领域,并迅速得到较为广泛的认可。风险评估逐步成为信息安...
-
14
2020-12-21 22:05 币安检测到潜在匹配错误,匹配已经被自动暂停 12月21日,币安CEO赵长鹏在推特上表示,币安系统检测到潜在匹配错误,匹配已经被自动暂停。我们正在调查这个问题,初步估计需要30-60分钟(可...
-
2
碳链价值APP讯,美联储周五在每半年发布一次的金融系统稳定性评估中首次提到加密资产:「各种加密资产价格的飙升也部分反映了风险偏好的提升。」同时,报告中也...
-
5
信息安全管理之风险评估 – 安全意识博客Skip to content 信息安全管理体系实施的第三步是进行风险评估。风险评估在ISO 27001的条文中,在ISO 27002的章节中都有相关的...
-
11
EyeJo EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。 本平台集成了大量的互联网公开工具,主要是方便安全人员整理、排查资产、安全测试等,切勿用于非法用...
-
3
在 YouTube 删除 RT Germany 帐户后俄罗斯威胁报复 ...
-
2
迪士尼Instagram和Facebook帐户被黑,并被威胁行为者发布恶意内容-51CTO.COM 迪士尼Instagram和Facebook帐户被黑,并被威胁行为者发布恶意内容 作者:大白haha 2022-07-11 18:15:05 据迪...
-
2
研究表明苹果Apple Watch具有潜在检测心脏病发作的能力 2022年08月17日09:28 IT之家
-
4
天文学家发现对地球具有潜在威胁的最大天体:直径1.5公里 2022-11-02 08:16 出处/作者:快科技 整合编辑:佚名 0
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK