Active Directory安全演进史:从基础攻击到现代防御技术

本文详细梳理了Active Directory安全技术从2000年至今的发展历程,涵盖Pass-the-Hash、Mimikatz、Golden Ticket等关键攻击技术的演进时间线,以及Bloodhound、PingCastle等防御工具的发展脉络。

Active Directory安全历史

在2024年夏季,我在Troopers会议上发表了题为"十年Active Directory攻击:经验教训与未来展望"的演讲,重点介绍了Active Directory安全的关键里程碑。本文详细记录了我对"十年Active Directory攻击"的研究,结合了公开信息和GitHub发布信息。这篇Active Directory安全历史文章将显著攻击事件按时间线分解,从2000年Active Directory发布开始,一直持续到2025年末。

“婴儿学步"阶段(2000-2009)

我们从我称之为"婴儿学步"的时期开始(2000-2009年)。这是当今仍在使用的关键攻击能力的发展阶段。

  • 1997年4月:Paul Ashton在NTBugtraq上发布了关于"使用修改的SMB客户端进行Pass the Hash"的内容,利用用户名和LanMan哈希攻击Windows NT。
  • 2000年2月17日:Active Directory作为Windows 2000的一部分发布。
  • 2001年3月:Cult of the Dead Cow的Sir Dystic发布了SMBRelay和SMBRelay2。
  • 2007年:Robert Wesley McGrew创建了NBNSpoof工具。
  • 2008年7月:Hernan Ochoa发布了"Pass-the-Hash Toolkit”。

“奇迹年代”(2010-2014)

下一个时期我称之为"奇迹年代"(2010-2014),这是关键Active Directory攻击元素的创建阶段。

  • 2010年3月:Hernan Ochoa发布Windows Credentials Editor和RootedCon演示。
  • 2011年5月:Benjamin Delpy发布Mimikatz工具的第一个版本。
  • 2012年:Emilien Giraul发布利用Windows 2008组策略首选项的技术。
  • 2012年10月:Laurent Gaffie发布Responder v1工具。
  • 2013年10月:Joe Bialek发布Invoke-Mimikatz PowerShell版本。
  • 2014年8月:Benjamin Delpy和Skip Duckwell在Black Hat上发布关于Golden Tickets的演讲。
  • 2014年9月:Tim Medin在DerbyCon发布Kerberoast。
  • 2014年12月:Will Schroeder发布PowerView工具。

黄金年代(2015-2019)

继"奇迹年代"之后是我称之为"黄金年代"的时期(2015-2019),大多数攻击都来自这个阶段。

  • 2015年:Michael Grafnetter发布DSInternals工具。
  • 2015年5月:Alberto Solino发布Impacket工具。
  • 2015年8月:Will Schroeder和Justin Warner发布PowerShell Empire。
  • 2015年8月:Vincent Le Toux和Benjamin Delpy为Mimikatz添加DCSync功能。
  • 2015年9月:byt3bl33d3r发布CrackMapExec v1.0.0工具。
  • 2016年8月:在DEFCON 23发布Bloodhound工具。
  • 2017年1月:发布PingCastle 2.4.0.1。
  • 2018年:Dirk-jan Molema发布Ldapdomaindump工具。
  • 2018年7月:发布GhostPack工具集合。
  • 2019年1月:Dirk-jan Molema发布PrivExchange工具。

“第三时代”(2020年至今)

我们目前处于我称之为"第三时代"的阶段,主要是对现有技术和工具的改进,并加入了一些显著的新技术。

  • 2020年8月:发布关于如何最佳配置Active Directory蜜罐账户的文章。
  • 2020年12月:Lars Karlslund发布Adalanche工具。
  • 2021年3月:发布Purple Knight。
  • 2021年4月:Antonio Cocomazzi发布RemotePotato0工具。
  • 2021年7月:发布PetitPotam工具。
  • 2021年8月:Will Schroeder和Lee Christensen发布Certified Pre-Owned演讲。
  • 2021年10月:Oliver Lyak发布Certipy工具。
  • 2022年4月:Dec0ne发布KrbRelayUp工具。
  • 2023年7月:Jake Hildreth发布Locksmith工具。
  • 2023年8月:发布Bloodhound Community Edition。
  • 2025年5月:披露BadSuccessor技术。
  • 2025年8月:发布Bloodhound OpenGraph。
  • 2025年9月:发布Active Directory密码喷洒检测技术。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次