zBang:可检测潜伏特权帐户要挟的风险评价对象 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

zBang:可检测潜伏特权帐户要挟的风险评价对象

Sunbet_安全预警 申博 371次浏览 已收录 0个评论

zBang:可检测潜伏特权帐户要挟的风险评价对象

zBang是一个用于检测扫描收集中潜伏特权帐户要挟的风险评价对象,构造或红队可利用zBang来辨认潜伏的进击向量改良收集的平安状况,并可经由过程图形界面或检察原始输出文件来剖析效果。

该对象由五个分歧的扫描模块构建:

ACLight scan – 发明必需受珍爱的最高权限帐户,包孕可疑的Shadow Admins。

Skeleton Key scan – 发明能够被Skeleton Key歹意软件沾染的域控制器。

SID History scan – 运用secondary SID(SID历史记录属性)发明域帐户中的隐藏权限。

RiskySPNs scan – 发明能够致使域管理员凭证盗取的SPN风险设置装备摆设。

Mystique scan – 发明收集中有风险的Kerberos委派设置装备摆设。

实行请求

与域用户一同运转它。扫描不须要任何分外的权限;该对象对DC实行只读LDAP查询。

从已到场域的计算机(Windows计算机)运转该对象。

PowerShell version 3或更高版本,和.NET 4.5(默许状况下在Windows 8/2012及更高版本中供应)。

疾速入门指南

1. 从GitHub下载并运转最新版或运用你喜好的编译器举行编译。

2. 在翻开的界面中,挑选你要实行的扫描。在以下示例中,选中了一切五个扫描模块:

zBang:可检测潜伏特权帐户要挟的风险评价对象

3. 要检察演示效果,请单击“Reload”。zBang对象带有内置的启动演示数据;你能够检察分歧扫描的效果并运用图形界面举行播放。

4. 要在收集中启动新扫描,请单击“Launch”。这将弹出一个新窗口,并显现分歧扫描的状况。

zBang:可检测潜伏特权帐户要挟的风险评价对象

5. 扫描完成后,将显现一条音讯申明效果已导出到外部zip文件。

zBang:可检测潜伏特权帐户要挟的风险评价对象

6. zip文件位于zBang的统一文件夹中,而且具有独一的称号,个中包罗扫描的时候和日期。你还能够将先前的效果导入zBang GUI,而无需从新运转扫描。要导入先前的效果,请在zBang的翻开界面中单击“Import”。

zBang效果阅读

A. ACLight scan

zBang:可检测潜伏特权帐户要挟的风险评价对象

1. 挑选你扫描的域。

2. 你将看到一个已发明的最高权限帐户的列表。

3. 在左侧 – 检察“standard”规范权限帐户由于其组成员身份而取得的权限。

4. 在右边 – 检察“Shadow Admins”这些帐户经由过程直接ACL权限分派取得其权限。这些帐户能够比规范的“域管理员”用户更隐藏,因而它们其实不平安并经常成为进击者的主要目的。

5. 在每一个帐户上,你能够双击检察其权限拓扑图。

zBang:可检测潜伏特权帐户要挟的风险评价对象

6. 在一个资助页面中形貌了分歧的可滥用ACL权限。点击右上角的“问号”检察:

zBang:可检测潜伏特权帐户要挟的风险评价对象

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

7. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检results文件夹:“[zip文件生存途径]\ACLight-master\Results”,包罗择要申报 -“特权帐户 – Layers Analysis.txt”。

8. 在每一个发明的特权帐户上:

辨认特权帐户。

削减帐户的不必要权限。

确保帐户平安。考证这三个步调后,你能够在小挑选框顶用“V”符号该帐户,并在界面上将其设置为绿色。

9. 我们的目的是让一切的帐户都被符号为平安的绿色。

B. Skeleton Key scan

1. 在扫描页面中(单击上一部分中的相干书签),将显现一切已扫描的DC列表。

2. 确保一切这些都被标为绿色。

3. 若是扫描发明潜伏的受沾染DC,启动观察历程至关重要。

zBang:可检测潜伏特权帐户要挟的风险评价对象

C. SID History scan

1. 在该扫描页面中,将有一个具有secondary SID(SID历史记录属性)的域帐户列表。
2. 每一个帐户都有两个衔接箭头,左侧一个用于其主SID;另一个则用于其secondary SID(带有面具图标)。
3. 若是主SID具有特权,则它将为赤色,若是SID历史记录具有特权,则将显现为赤色面具。
4. 你应当搜刮能够存在风险的状况,比方帐户具有非特权主SID,但同时具有特权secondary SID。这就须要注重了,你应当搜检该帐户并观察它具有特权secondary SID的缘由,以确保收集中的潜伏入侵者没有增加它。

zBang:可检测潜伏特权帐户要挟的风险评价对象

*为了轻易可视化,若是存在大批具有非特权SID历史记录的帐户(凌驾十个),它们将会被从显现中过滤掉,由于这些帐户其实不那末敏感。

5. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检csv文件:”[zip文件生存途径]\SIDHistory\Results\Report.csv”。

D. RiskySPNs scan

1. 在扫描效果页面中,将显现一切运用用户帐户注册的SPN列表。

2. 若是用户帐户是特权帐户,则该帐户将显现为赤色。

3. 具有在特权帐户下注册的SPN是异常风险的。实验变动/禁用这些SPN。为SPN运用计算机帐户或削减已向其注册了SPN的用户的不必要权限。别的,发起为这些用户分派强暗码,并完成每一个暗码的自动轮换。

zBang:可检测潜伏特权帐户要挟的风险评价对象

4. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检csv文件:”[zip文件生存途径]\RiskySPN-master\Results\RiskySPNs-test.csv”。

E. Mystique scan

1. 扫描效果页面包罗受委派权限信托的一切已发明帐户的列表。

2. 有三种委派范例:无束缚,束缚和束缚协定转换。帐户色彩对应于其委派权限范例。

3. 禁用受委派权限信托的旧帐户和未运用帐户。特别是搜检“无束缚”和“束缚协定转换”的风险委派范例。将“无束缚”委派转换为“束缚”委派,仅许可用于特定的所需效劳。若是能够,必需从新考证和禁用“协定转换”范例的委派。

zBang:可检测潜伏特权帐户要挟的风险评价对象

4. 如要手动搜检扫描效果,请解压缩已生存的zip文件并搜检csv文件:”[zip文件生存途径]\Mystique-master\Results\delegation_info.csv”。


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明zBang:可检测潜伏特权帐户要挟的风险评价对象
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址