Active Directory安全演进史:从基础攻击到现代防御

本文详细梳理了Active Directory安全从2000年发布至今的发展历程,涵盖了Pass-the-Hash、Mimikatz、Golden Ticket等关键攻击技术的演变时间线,以及Bloodhound、Impacket等主流安全工具的发展历史。

Active Directory安全历史

在2024年夏季,我在Troopers会议上发表了题为"十年Active Directory攻击:我们学到了什么及未来展望"的演讲,重点关注了Active Directory安全的关键里程碑。本文详细介绍了我的"十年Active Directory攻击"研究,结合了公开信息和GitHub发布信息。这篇Active Directory安全历史文章将显著攻击事件按时间线分解,从2000年Active Directory发布开始,一直持续到2025年末。

“婴儿学步"时期(2000-2009)

我们从我称之为"婴儿学步"的时期开始(2000-2009年)。这是当今仍在使用的关键攻击能力开发的起点。

  • 1997年4月:Paul Ashton在NTBugtraq上发布了关于"使用修改版SMB客户端进行Pass the Hash"的帖子,利用用户名和LanMan哈希攻击Windows NT。
  • 2000年2月17日:Active Directory作为Windows 2000的一部分发布。
  • 2001年3月:Cult of the Dead Cow的Sir Dystic发布了SMBRelay和SMBRelay2。
  • 2007年:Robert Wesley McGrew创建了NBNSpoof工具。
  • 2008年7月:Hernan Ochoa发布了"Pass-the-Hash Toolkit”。

“奇迹年代”(2010-2014)

下一个时期我称之为"奇迹年代"(2010-2014),这是关键Active Directory攻击元素创建的时期。

  • 2010年3月:Hernan Ochoa发布了Windows Credentials Editor和RootedCon演示。
  • 2011年5月:Benjamin Delpy发布了Mimikatz工具的第一个版本。
  • 2012年:Emilien Giraul发布了利用Windows 2008组策略首选项的方法。
  • 2012年5月:Chris Campbell发布了关于GPP密码的帖子。
  • 2012年10月:Laurent Gaffie发布了Responder v1工具。
  • 2013年10月:Joe Bialek发布了Invoke-Mimikatz PowerShell版本。
  • 2014年8月:Benjamin Delpy和Skip Duckwell在Black Hat上发表了关于Kerberos滥用的演讲。
  • 2014年9月:Skip Duckwell发布了关于Silver Tickets的博客文章。
  • 2014年9月:Tim Medin在DerbyCon发布了Kerberoast。
  • 2014年12月:Will Schroeder发布了PowerView工具。

“黄金年代”(2015-2019)

紧随"奇迹年代"之后是我称之为"黄金年代"的时期(2015-2019),大多数攻击都源于此时期。

  • 2015年:Michael Grafnetter发布了DSInternals工具。
  • 2015年:Benjamin Delpy发布了Kekeo工具。
  • 2015年:Matt Graeber发布了PowerSploit工具集。
  • 2015年5月:Alberto Solino发布了Impacket工具。
  • 2015年5月:Sean Metcalf发布了检测Golden Tickets的方法。
  • 2015年8月:Will Schroeder和Justin Warner发布了PowerShell Empire。
  • 2015年8月:Vincent Le Toux和Benjamin Delpy向Mimikatz添加了DCSync功能。
  • 2015年9月:Marcello发布了CrackMapExec v1.0.0工具。
  • 2015年9月:Sean Metcalf在DerbyCon发表了关于攻击目录服务恢复模式的演讲。
  • 2015年12月:Michael Grafnetter发布了攻击组托管服务账户的方法。
  • 2016年8月:在DEFCON 23发布了Bloodhound工具。
  • 2017年1月:发布了PingCastle 2.4.0.1。
  • 2017年2月:Sean Metcalf发布了无误报检测Kerberoasting的方法。
  • 2017年5月:Shay Ber发布了DNS Admin到Domain Admin的方法。
  • 2017年5月:byt3bl33d3r发布了Death Star python脚本。
  • 2017年5月:Fox-IT发布了Ntlmrelayx工具。
  • 2017年8月:Andy Robbins和Will Schroeder在Black Hat 2017发表了ACE up the Sleeve演讲。
  • 2017年9月:发布了Sharphound工具。
  • 2018年:Dirk-jan Molema发布了Ldapdomaindump工具。
  • 2018年1月:ADSecurity文章描述了如何攻击只读域控制器。
  • 2018年2月:Dirk-jan Molema发布了Bloodhound.py工具。
  • 2018年7月:发布了GhostPack工具集。
  • 2018年8月:Vincent Le Toux和Benjamin Delpy发布了DCShadow攻击。
  • 2018年9月:Will Schroeder发布了Rubeus工具。
  • 2018年10月:在DerbyCon发表了"Printer Bug" AD权限提升演讲。
  • 2019年1月:Dirk-jan Molema发布了PrivExchange工具。
  • 2019年1月:Elad Shamir发布了关于滥用基于资源的约束委派攻击Active Directory的方法。

“第三时代”(2020年至今)

我们目前处于我称之为"第三时代"的时期,主要是对现有技术和工具的改进,并加入了一些显著的新技术。

  • 2020年8月:发布了关于蜜罐账户配置最佳实践的文章。
  • 2020年12月:Lars Karlslund发布了Adalanche工具。
  • 2021年3月:发布了Purple Knight工具。
  • 2021年4月:Antonio Cocomazzi发布了RemotePotato0工具。
  • 2021年7月:发布了PetitPotam工具。
  • 2021年8月:Will Schroeder和Lee Christensen在Black Hat发表了Certified Pre-Owned演讲。
  • 2021年8月:Will Schroeder和Lee Christensen发布了Certify ADCS工具。
  • 2021年10月:James Forshaw发布了Kerberos中继攻击。
  • 2021年10月:Oliver Lyak发布了Certipy工具。
  • 2021年11月:Sagi Sheinfeld、Eyal Karni和Yaron Zinar在Black Hat发表了"Is This My Domain Controller"演讲。
  • 2022年4月:Dec0ne发布了KrbRelayUp工具。
  • 2023年7月:Jake Hildreth发布了Locksmith ADCS问题扫描和修复工具。
  • 2023年8月:发布了Bloodhound Community Edition。
  • 2023年10月:CrackMapExec继续作为NetExec发展。
  • 2025年5月:披露了BadSuccessor技术。
  • 2025年8月:发布了Bloodhound OpenGraph。
  • 2025年9月:发布了Active Directory密码喷洒检测方法。

注意:如果您想使用本页内容,请注明Sean Metcalf并链接回本页。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次