DCSync攻击解析：工作原理、危害与防御措施

想象一下，攻击者无需接触域控制器的磁盘，无需"转储"NTDS.dit文件，却能获取域内任意账户（包括用于伪造Kerberos票据的krbtgt账户）的密码哈希。这正是DCSync攻击能够实现的效果。

什么是DCSync？

DCSync是一种后期利用技术，通过滥用Active Directory的合法复制API（目录复制服务/DRS远程协议），使攻击者能够像另一个域控制器一样从目标域控制器请求凭据材料（密码哈希、Kerberos密钥和其他敏感属性）。该技术通过Mimikatz等工具广泛传播，并被MITRE列为子技术T1003.006（DCSync）。

工作原理——技术核心

Active Directory域控制器使用DRS在控制器之间复制账户属性。该协议期望来自可信复制伙伴的请求。

控制具有复制权限账户的攻击者（例如：复制目录更改、复制所有目录更改权限，或域管理员等高权限账户）可以远程调用DRS API，并要求获取用户属性值——包括unicodePwd、ntHash和Kerberos密钥材料。

工具（Mimikatz、Impacket脚本、自定义代码）可以模拟域控制器并远程执行这些调用；目标域控制器…

剩余内容需要Medium会员权限方可阅读