欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全预警正文

zBang:可检测潜伏特权帐户要挟的风险评价对象

b9e08c31ae1faa592019-01-1276

zBang:可检测潜伏特权帐户要挟的风险评价对象  第1张 zBang是一个用于检测扫描收集中潜伏特权帐户要挟的风险评价对象,构造或红队可利用zBang来辨认潜伏的进击向量改良收集的平安状况,并可经由过程图形界面或检察原始输出文件来剖析效果。 该对象由五个分歧的扫描模块构建:

ACLight scan - 发明必需受珍爱的最高权限帐户,包孕可疑的Shadow Admins。 Skeleton Key scan - 发明能够被Skeleton Key歹意软件沾染的域控制器。 SID History scan - 运用secondary SID(SID历史记录属性)发明域帐户中的隐藏权限。 RiskySPNs scan - 发明能够致使域管理员凭证盗取的SPN风险设置装备摆设。 Mystique scan - 发明收集中有风险的Kerberos委派设置装备摆设。

实行请求

与域用户一同运转它。扫描不须要任何分外的权限;该对象对DC实行只读LDAP查询。 从已到场域的计算机(Windows计算机)运转该对象。 PowerShell version 3或更高版本,和.NET 4.5(默许状况下在Windows 8/2012及更高版本中供应)。

疾速入门指南

1. 从GitHub下载并运转最新版或运用你喜好的编译器举行编译。 2. 在翻开的界面中,挑选你要实行的扫描。在以下示例中,选中了一切五个扫描模块: zBang:可检测潜伏特权帐户要挟的风险评价对象  第2张 3. 要检察演示效果,请单击“Reload”。zBang对象带有内置的启动演示数据;你能够检察分歧扫描的效果并运用图形界面举行播放。 4. 要在收集中启动新扫描,请单击“Launch”。这将弹出一个新窗口,并显现分歧扫描的状况。 zBang:可检测潜伏特权帐户要挟的风险评价对象  第3张 5. 扫描完成后,将显现一条音讯申明效果已导出到外部zip文件。 zBang:可检测潜伏特权帐户要挟的风险评价对象  第4张 6. zip文件位于zBang的统一文件夹中,而且具有独一的称号,个中包罗扫描的时候和日期。你还能够将先前的效果导入zBang GUI,而无需从新运转扫描。要导入先前的效果,请在zBang的翻开界面中单击“Import”。

zBang效果阅读

A. ACLight scan

zBang:可检测潜伏特权帐户要挟的风险评价对象  第5张 1. 挑选你扫描的域。 2. 你将看到一个已发明的最高权限帐户的列表。 3. 在左侧 – 检察“standard”规范权限帐户由于其组成员身份而取得的权限。 4. 在右边 – 检察“Shadow Admins”这些帐户经由过程直接ACL权限分派取得其权限。这些帐户能够比规范的“域管理员”用户更隐藏,因而它们其实不平安并经常成为进击者的主要目的。 5. 在每一个帐户上,你能够双击检察其权限拓扑图。 zBang:可检测潜伏特权帐户要挟的风险评价对象  第6张 6. 在一个资助页面中形貌了分歧的可滥用ACL权限。点击右上角的“问号”检察: zBang:可检测潜伏特权帐户要挟的风险评价对象  第7张 -------------------------------------

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。
------------------------------------- 7. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检results文件夹:“[zip文件生存途径]\ACLight-master\Results”,包罗择要申报 -“特权帐户 – Layers Analysis.txt”。 8. 在每一个发明的特权帐户上:
辨认特权帐户。 削减帐户的不必要权限。 确保帐户平安。考证这三个步调后,你能够在小挑选框顶用“V”符号该帐户,并在界面上将其设置为绿色。
9. 我们的目的是让一切的帐户都被符号为平安的绿色。

B. Skeleton Key scan

1. 在扫描页面中(单击上一部分中的相干书签),将显现一切已扫描的DC列表。 2. 确保一切这些都被标为绿色。 3. 若是扫描发明潜伏的受沾染DC,启动观察历程至关重要。 zBang:可检测潜伏特权帐户要挟的风险评价对象  第8张 C. SID History scan 1. 在该扫描页面中,将有一个具有secondary SID(SID历史记录属性)的域帐户列表。 2. 每一个帐户都有两个衔接箭头,左侧一个用于其主SID;另一个则用于其secondary SID(带有面具图标)。 3. 若是主SID具有特权,则它将为赤色,若是SID历史记录具有特权,则将显现为赤色面具。 4. 你应当搜刮能够存在风险的状况,比方帐户具有非特权主SID,但同时具有特权secondary SID。这就须要注重了,你应当搜检该帐户并观察它具有特权secondary SID的缘由,以确保收集中的潜伏入侵者没有增加它。 zBang:可检测潜伏特权帐户要挟的风险评价对象  第9张 *为了轻易可视化,若是存在大批具有非特权SID历史记录的帐户(凌驾十个),它们将会被从显现中过滤掉,由于这些帐户其实不那末敏感。 5. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检csv文件:”[zip文件生存途径]\SIDHistory\Results\Report.csv”。

D. RiskySPNs scan

1. 在扫描效果页面中,将显现一切运用用户帐户注册的SPN列表。 2. 若是用户帐户是特权帐户,则该帐户将显现为赤色。 3. 具有在特权帐户下注册的SPN是异常风险的。实验变动/禁用这些SPN。为SPN运用计算机帐户或削减已向其注册了SPN的用户的不必要权限。别的,发起为这些用户分派强暗码,并完成每一个暗码的自动轮换。 zBang:可检测潜伏特权帐户要挟的风险评价对象  第10张 4. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检csv文件:”[zip文件生存途径]\RiskySPN-master\Results\RiskySPNs-test.csv”。

E. Mystique scan

1. 扫描效果页面包罗受委派权限信托的一切已发明帐户的列表。 2. 有三种委派范例:无束缚,束缚和束缚协定转换。帐户色彩对应于其委派权限范例。 3. 禁用受委派权限信托的旧帐户和未运用帐户。特别是搜检“无束缚”和“束缚协定转换”的风险委派范例。将“无束缚”委派转换为“束缚”委派,仅许可用于特定的所需效劳。若是能够,必需从新考证和禁用“协定转换”范例的委派。 zBang:可检测潜伏特权帐户要挟的风险评价对象  第11张 4. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检csv文件:”[zip文件生存途径]\Mystique-master\Results\delegation_info.csv”。

网友评论