Active Directory安全演进史:从经典攻击到现代防御

本文详细梳理了Active Directory安全从2000年发布至今的关键发展历程,涵盖Pass-the-Hash、Mimikatz、Golden Ticket等经典攻击技术,以及Bloodhound、Impacket等主流安全工具的演进时间线。

Active Directory安全历史

在2024年夏季的Troopers会议上,我进行了题为《十年Active Directory攻击:经验与未来展望》的演讲,重点关注了Active Directory安全的关键里程碑。本文基于公开信息和GitHub发布信息,详细梳理了“十年Active Directory攻击”历程。这篇Active Directory安全历史文章将 notable 攻击按时间线分解,从2000年Active Directory发布开始,一直延续到2025年末。

“婴儿学步”时期(2000-2009)

我们从称为“婴儿学步”(2000-2009)的时间段开始,这是当今仍在使用的关键攻击能力的开发阶段。

  • 1997年4月:Paul Ashton在NTBugtraq上发布了关于“使用修改版SMB客户端进行Pass the Hash”的帖子,利用用户名和LanMan哈希攻击Windows NT。
  • 2000年2月17日:Active Directory作为Windows 2000的一部分发布(RTM版本为1999年12月5日,零售版本为2000年2月17日)。
  • 2001年3月:Cult of the Dead Cow(cDc)的Sir Dystic发布了SMBRelay和SMBRelay2。
  • 2007年:Robert Wesley McGrew创建了NBNSpoof工具(LLMNR/NBT-NS)。
  • 2008年7月:Hernan Ochoa发布了“Pass-the-Hash Toolkit”(后来称为WCE,是Mimikatz的灵感来源)。

“奇迹年代”(2010-2014)

下一个时间段我称之为“奇迹年代”(2010-2014),这是关键Active Directory攻击元素的创建时期。

  • 2010年3月:Hernan Ochoa发布Windows Credentials Editor(WCE)并在RootedCon会议上进行演示。
  • 2011年5月:Benjamin Delpy发布Mimikatz工具的第一个版本。
  • 2012年:Emilien Giraul发布利用Windows 2008组策略首选项的方法。
  • 2012年5月:Chris Campbell发布关于GPP密码的帖子。
  • 2012年10月:Laurent Gaffie发布Responder v1工具。
  • 2013年10月:Joe Bialek发布Invoke-Mimikatz PowerShell版本。
  • 2014年8月:Benjamin Delpy和Skip Duckwell在Black Hat会议上发表“滥用Microsoft Kerberos”演讲。
  • 2014年9月:Skip Duckwell发布关于Silver Tickets的博客文章。
  • 2014年9月:Tim Medin在DerbyCon发布Kerberoast。
  • 2014年12月:Will Schroeder发布PowerView工具。

黄金年代(2015-2019)

紧随“奇迹年代”之后是我称之为“黄金年代”(2015-2019)的时期,大多数攻击都来自这个阶段。

  • 2015年:Michael Grafnetter发布DSInternals工具。
  • 2015年:Benjamin Delpy发布Kekeo工具。
  • 2015年:Matt Graeber发布PowerSploit工具集。
  • 2015年5月:Alberto Solino发布Impacket工具。
  • 2015年5月:Sean Metcalf发布检测Golden Tickets的方法。
  • 2015年8月:Will Schroeder和Justin Warner发布PowerShell Empire。
  • 2015年8月:Vincent Le Toux和Benjamin Delpy为Mimikatz添加DCSync功能。
  • 2015年9月:Marcello发布CrackMapExec v1.0.0工具。
  • 2015年9月:Sean Metcalf在DerbyCon会议上发表攻击目录服务恢复模式(DSRM)的演讲。
  • 2015年12月:Michael Grafnetter发布攻击组托管服务账户(GMSAs)的方法。
  • 2016年8月:Will Schroeder、Rohan Vazarkar和Andy Robbins在DEFCON 23发布Bloodhound工具。
  • 2017年1月:发布PingCastle 2.4.0.1。
  • 2017年2月:Sean Metcalf发布无误报检测Kerberoasting的方法。
  • 2017年5月:Shay Ber发布DNS Admin到Domain Admin的升级方法。
  • 2017年5月:byt3bl33d3r发布Death Star python脚本。
  • 2017年5月:Fox-IT发布Ntlmrelayx工具。
  • 2017年8月:Andy Robbins和Will Schroeder在Black Hat 2017发表ACE up the Sleeve演讲。
  • 2017年9月:发布Sharphound工具。
  • 2018年:Dirk-jan Molema发布Ldapdomaindump工具。
  • 2018年1月:ADSecurity文章描述如何攻击只读域控制器(RODCs)。
  • 2018年2月:Dirk-jan Molema发布Bloodhound.py工具。
  • 2018年7月:发布GhostPack作为流行PowerShell工具的C#移植集合。
  • 2018年8月:Vincent Le Toux和Benjamin Delpy发布DCShadow攻击。
  • 2018年9月:Will Schroeder发布Rubeus工具。
  • 2018年10月:Will Schroeder、Lee Christensen和Matt Nelson在DerbyCon发表“Printer Bug”AD权限提升演讲。
  • 2019年1月:Dirk-jan Molema发布PrivExchange工具。
  • 2019年1月:Elad Shamir发布《摇狗:滥用基于资源的约束委派攻击Active Directory》。

“第三时代”(2020年至今)

我们目前处于我称之为“第三时代”的时期,主要是对现有技术和工具的改进,并加入了一些 notable 的新技术。

  • 2020年8月:发布《蜜罐账户的艺术》文章,描述如何最佳配置Active Directory蜜罐账户。
  • 2020年12月:Lars Karlslund发布Adalanche工具。
  • 2021年3月:发布Purple Knight。
  • 2021年4月:Antonio Cocomazzi发布RemotePotato0工具。
  • 2021年7月:发布PetitPotam工具。
  • 2021年8月:Will Schroeder和Lee Christensen在Black Hat发表Certified Pre-Owned(ADCS攻击)演讲。
  • 2021年8月:Will Schroeder和Lee Christensen发布Certify ADCS工具。
  • 2021年10月:James Forshaw发布Kerberos中继攻击。
  • 2021年10月:Oliver Lyak发布Certipy工具。
  • 2021年11月:Sagi Sheinfeld、Eyal Karni和Yaron Zinar在Black Hat发表“这是我的域控制器吗”演讲。
  • 2022年4月:Dec0ne发布KrbRelayUp工具。
  • 2023年7月:Jake Hildreth发布Locksmith Active Directory证书服务(ADCS)问题扫描和修复工具。
  • 2023年8月:发布Bloodhound社区版(CE)。
  • 2023年10月:CrackMapExec继续作为NetExec(nxc)。
  • 2025年5月:披露BadSuccessor技术,利用委派托管服务账户(dMSA)账户弱点。
  • 2025年8月:发布Bloodhound OpenGraph。
  • 2025年9月:发布Active Directory密码喷洒检测。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次