攻击概述
威胁攻击者近期入侵企业环境,转储了AD数据库文件NTDS.dit,几乎实现完全域控制。Active Directory作为Windows域的核心,存储账户数据、组策略和密码哈希。其核心文件被攻陷相当于将域控制权拱手相让。
完整攻击链
-
初始入侵
攻击者通过钓鱼邮件投递远程访问工具,在工作站上获取管理员权限。 -
横向移动
使用Mimikatz捕获LSASS进程内存窃取密码哈希,通过Pass-the-Hash技术验证服务器权限,最终抵达域控制器。 -
绕过文件锁
面对被锁定的AD数据库,攻击者使用Volume Shadow Copy Service(VSS)创建系统卷的隐藏快照,静默提取NTDS.dit文件和包含解密密钥的SYSTEM注册表配置单元。 -
隐蔽数据外泄
攻击者使用内置Windows命令(如vssadmin)和PowerShell工具复制被锁文件,通过esentutl修复影子副本后使用SecretsDump转储凭证,最终将NTDS.dit和SYSTEM配置单元压缩后通过SMB连接传输到攻击者控制服务器。
检测与响应
Trellix网络检测与响应(NDR)通过行为模式和协议异常(而非简单特征匹配)识别关键攻击阶段:
- 异常SMB流量:对外部IP的大规模文件传输触发协议模式偏离警报
- 影子副本创建:非管理员账户异常使用
vssadmin触发行为检测 - 归档外泄:系统卷快照的SMB读取操作突增被标记为高置信度外泄特征
安全建议
- 监控原生工具使用:对非常规VSS和注册表导出操作设置警报
- 建立协议行为基线:通过SMB/RPC流量基线捕捉隐蔽外泄企图
- 关联警报链:将独立异常整合为统一攻击叙事以指导快速响应
通过在多节点检测隐蔽的AD数据库窃取行为,现代NDR平台可有效对抗基于身份的攻击。安全团队需优化监控策略,在发生完全域控失陷前识别NTDS.dit提取的隐蔽迹象。