Active Directory安全演进史:从哈希传递到Kerberos攻击

本文详细梳理了Active Directory安全从2000年发布至今的关键攻击技术发展历程,包括Mimikatz、Pass-the-Hash、Kerberoasting、DCSync等核心攻击手法的出现时间与技术原理,是了解AD安全演进的权威参考。

Active Directory安全历史

在2024年夏季,我在Troopers会议上进行了题为"十年Active Directory攻击:我们学到了什么与未来展望"的演讲,重点关注了Active Directory安全的关键里程碑。本文详细介绍了我的"十年Active Directory攻击"研究,结合了公开信息和GitHub发布信息。这篇Active Directory安全历史文章将显著攻击按时间线分解,从2000年Active Directory发布开始,一直持续到2025年末。

“婴儿学步"时期(2000-2009)

我们从我称之为"婴儿学步"的时期开始,这是当今仍在使用的关键攻击能力的开发阶段。

  • 1997年4月:Paul Ashton在NTBugtraq上发布了关于"使用修改的SMB客户端进行哈希传递"的帖子,利用用户名和LanMan哈希攻击Windows NT。
  • 2000年2月17日:Active Directory作为Windows 2000的一部分发布。
  • 2001年3月:Cult of the Dead Cow的Sir Dystic发布了SMBRelay和SMBRelay2。
  • 2007年:Robert Wesley McGrew创建了NBNSpoof工具。
  • 2008年7月:Hernan Ochoa发布了"Pass-the-Hash工具包”。

“奇迹年代”(2010-2014)

下一个时期我称之为"奇迹年代",其中创建了一些关键的Active Directory攻击要素。

  • 2010年3月:Hernan Ochoa发布了Windows凭据编辑器及其RootedCon演示。
  • 2011年5月:Benjamin Delpy发布了Mimikatz工具的第一个版本。
  • 2012年:Emilien Giraul发布了利用Windows 2008组策略首选项的技术。
  • 2012年10月:Laurent Gaffie发布了Responder v1工具。
  • 2013年10月:Joe Bialek发布了Invoke-Mimikatz PowerShell版本。
  • 2014年8月:Benjamin Delpy和Skip Duckwell在Black Hat上发表了关于Kerberos滥用的演讲。
  • 2014年9月:Tim Medin在DerbyCon发布了Kerberoast。
  • 2014年12月:Will Schroeder发布了PowerView工具。

“黄金年代”(2015-2019)

紧随"奇迹年代"之后是我称之为"黄金年代"的时期,大多数攻击都来自这个时期。

  • 2015年:Michael Grafnetter发布了DSInternals工具。
  • 2015年5月:Alberto Solino发布了Impacket工具。
  • 2015年8月:Will Schroeder和Justin Warner发布了PowerShell Empire。
  • 2015年8月:Vincent Le Toux和Benjamin Delpy为Mimikatz添加了DCSync更新。
  • 2015年9月:byt3bl33d3r发布了CrackMapExec v1.0.0工具。
  • 2016年8月:在DEFCON 23上发布了Bloodhound工具。
  • 2017年1月:发布了PingCastle 2.4.0.1。
  • 2018年:Dirk-jan Molema发布了Ldapdomaindump工具。
  • 2018年8月:Vincent Le Toux和Benjamin Delpy发布了DCShadow攻击。
  • 2019年1月:Dirk-jan Molema发布了PrivExchange工具。

“第三时代”(2020年至今)

我们目前处于我称之为"第三时代"的时期,主要是对现有技术和工具的改进。

  • 2020年8月:发布了关于蜜罐账户配置的文章。
  • 2020年12月:Lars Karlslund发布了Adalanche工具。
  • 2021年3月:发布了Purple Knight。
  • 2021年4月:Antonio Cocomazzi发布了RemotePotato0工具。
  • 2021年7月:发布了PetitPotam工具。
  • 2021年8月:Will Schroeder和Lee Christensen在Black Hat上发表了Certified Pre-Owned演讲。
  • 2021年10月:Oliver Lyak发布了Certipy工具。
  • 2022年4月:Dec0ne发布了KrbRelayUp工具。
  • 2023年7月:Jake Hildreth发布了Locksmith工具。
  • 2023年8月:发布了Bloodhound社区版。
  • 2025年5月:披露了BadSuccessor技术。
  • 2025年8月:发布了Bloodhound OpenGraph。
  • 2025年9月:发布了Active Directory密码喷洒检测技术。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次