内容简介:zBang是一个用于检测扫描网络中潜在特权帐户威胁的风险评估工具,组织或红队可利用zBang来识别潜在的攻击向量改善网络的安全状况,并可通过图形界面或查看原始输出文件来分析结果。关于zBang的更详细介绍,请参阅ACLight scan- 发现必须受保护的最高权限帐户,包括可疑的Shadow Admins。
zBang是一个用于检测扫描网络中潜在特权帐户威胁的风险评估工具,组织或红队可利用zBang来识别潜在的攻击向量改善网络的安全状况,并可通过图形界面或查看原始输出文件来分析结果。
关于zBang的更详细介绍,请参阅 @Hechtov 的博文: https://www.cyberark.com/threat-research-blog/the-big-zbang-theory-a-new-open-source-tool/
该 工具 由五个不同的扫描模块构建:
ACLight scan- 发现必须受保护的最高权限帐户,包括可疑的Shadow Admins。
Skeleton Key scan- 发现可能被Skeleton Key恶意软件感染的域控制器。
SID History scan- 使用secondary SID(SID历史记录属性)发现域帐户中的隐藏权限。
RiskySPNs scan- 发现可能导致域管理员凭据窃取的SPN风险配置。
Mystique scan- 发现网络中有风险的Kerberos委派配置。
执行要求
与域用户一起运行它。扫描不需要任何额外的权限;该工具对DC执行只读LDAP查询。
从已加入域的计算机(Windows计算机)运行该工具。
PowerShell version 3或更高版本,以及.NET 4.5(默认情况下在Windows 8/2012及更高版本中提供)。
快速入门指南
1. 从GitHub下载并运行最新版或使用你喜欢的编译器进行编译。
2. 在打开的界面中,选择你要执行的扫描。在以下示例中,选中了所有五个扫描模块:
3. 要查看演示结果,请单击“Reload”。zBang工具带有内置的启动演示数据;你可以查看不同扫描的结果并使用图形界面进行播放。
4. 要在网络中启动新扫描,请单击“Launch”。这将弹出一个新窗口,并显示不同扫描的状态。
5. 扫描完成后,将显示一条消息说明结果已导出到外部zip文件。
6. zip文件位于zBang的同一文件夹中,并且具有唯一的名称,其中包含扫描的时间和日期。你还可以将先前的结果导入zBang GUI,而无需重新运行扫描。要导入先前的结果,请在zBang的打开界面中单击“Import”。
zBang结果浏览
A. ACLight scan
1. 选择你扫描的域。
2. 你将看到一个已发现的最高权限帐户的列表。
3. 在左侧 – 查看“standard”标准权限帐户由于其组成员身份而获得的权限。
4. 在右侧 – 查看“Shadow Admins”这些帐户通过直接ACL权限分配获得其权限。这些帐户可能比标准的“域管理员”用户更隐蔽,因此它们并不安全并常常成为攻击者的首要目标。
5. 在每个帐户上,你可以双击查看其权限拓扑图。
6. 在一个帮助页面中描述了不同的可滥用ACL权限。点击右上角的“问号”查看:
7. 更多有关Shadow Admins的内容,请参阅博文: https://www.cyberark.com/threat-research-blog/shadow-admins-stealthy-accounts-fear/
8. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查results文件夹:“[zip文件保存路径]\ACLight-master\Results”,包含摘要报告 -“特权帐户 – Layers Analysis.txt”。
9. 在每个发现的特权帐户上:
识别特权帐户。
减少帐户的不必要权限。
确保帐户安全。验证这三个步骤后,你可以在小选择框中用“V”标记该帐户,并在界面上将其设置为绿色。
10. 我们的目标是让所有的帐户都被标记为安全的绿色。
B. Skeleton Key scan
1. 在扫描页面中(单击上一部分中的相关书签),将显示所有已扫描的DC列表。
2. 确保所有这些都被标为绿色。
3. 如果扫描发现潜在的受感染DC,启动调查进程至关重要。
4.有关Skeleton Key恶意软件的详细信息,请参阅@PyroTek3的博文: https://adsecurity.org/?p=1255
C. SID History scan
1. 在该扫描页面中,将有一个具有secondary SID(SID历史记录属性)的域帐户列表。
2. 每个帐户都有两个连接箭头,左边一个用于其主SID;另一个则用于其secondary SID(带有面具图标)。
3. 如果主SID具有特权,则它将为红色,如果SID历史记录具有特权,则将显示为红色面具。
4. 你应该搜索可能存在风险的情况,例如帐户具有非特权主SID,但同时具有特权secondary SID。这就需要注意了,你应该检查该帐户并调查它具有特权secondary SID的原因,以确保网络中的潜在入侵者没有添加它。
*为了方便可视化,如果存在大量具有非特权SID历史记录的帐户(超过十个),它们将会被从显示中过滤掉,因为这些帐户并不那么敏感。
5. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\SIDHistory\Results\Report.csv”。
6. 有关滥用SID History的更多信息,请参阅Ian Farr的博文: https://blogs.technet.microsoft.com/poshchap/2015/12/04/security-focus-sidhistory-sid-filtering-sanity-check-part-1-aka-post-100/
D. RiskySPNs scan
1. 在扫描结果页面中,将显示所有使用用户帐户注册的SPN列表。
2. 如果用户帐户是特权帐户,则该帐户将显示为红色。
3. 拥有在特权帐户下注册的SPN是非常危险的。尝试更改/禁用这些SPN。为SPN使用计算机帐户或减少已向其注册了SPN的用户的不必要权限。另外,建议为这些用户分配强密码,并实现每个密码的自动轮换。
4. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\RiskySPN-master\Results\RiskySPNs-test.csv”。
5. 有关SPN安全的更多信息,请参阅博文: https://www.cyberark.com/blog/service-accounts-weakest-link-chain/
E. Mystique scan
1. 扫描结果页面包含受委派权限信任的所有已发现帐户的列表。
2. 有三种委派类型:无约束,约束和约束协议转换。帐户颜色对应于其委派权限类型。
3. 禁用受委派权限信任的旧帐户和未使用帐户。特别是检查“无约束”和“约束协议转换”的风险委派类型。将“无约束”委派转换为“约束”委派,仅允许用于特定的所需服务。如果可能,必须重新验证和禁用“协议转换”类型的委派。
4. 如要手动检查扫描结果,请解压缩已保存的zip文件并检查csv文件:”[zip文件保存路径]\Mystique-master\Results\delegation_info.csv”。
5. 有关风险委派配置的更多信息,请参阅博文: https://www.cyberark.com/threat-research-blog/weakness-within-kerberos-delegation/
*参考来源: GitHub ,FB小编secist编译,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 绿盟安全风险评估算法体系
- 如何规范有效的进行风险评估?
- 该如何利用威胁情报进行更智能的风险评估
- 用算法听懂你,“声音风险评估”是伪科学还是真本事?
- 中国信息安全测评中心专家:风险评估服务能力成熟度模型研究
- 网络风险管理的三个关键词:协作、数据、评估
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。