狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用

這篇文章跟大家分析一下“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”。內(nèi)容詳細(xì)易懂，對(duì)“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”感興趣的朋友可以跟著小編的思路慢慢深入來閱讀一下，希望閱讀后能夠?qū)Υ蠹矣兴鶐椭Ｏ旅娓【幰黄鹕钊雽W(xué)習(xí)“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”的知識(shí)吧。

Goddi

Goddi 是 NetSPI 使用 Go 語言編寫的工具，該工具有助于收集 Active Directory 域信息，被認(rèn)為是 BloodHound、ADInfo、PowerSploit 和 windapsearch 等其他幾種常見工具的替代方案。

Goddi 依賴對(duì)域控進(jìn)行一系列自定義的 LDAP 查詢來獲取信息。此外，還支持通過 TCP/389 上的 StartTLS 與域控加密通信。Goodi 可檢索以下類型的信息：

域用戶

特權(quán)用戶組的用戶

密碼未設(shè)置過期的用戶

被鎖定或禁用的用戶

密碼超過 45 天的用戶

域計(jì)算機(jī)

域控

可信域關(guān)系

SPN

域組

域組織單位

域賬戶策略

域委派用戶

域組策略對(duì)象（GPO）

技術(shù)分析

默認(rèn)情況下，Windows 域控都支持基本的 LDAP 操作。只要有一個(gè)有效的域賬戶，即可通過 TCP/389 執(zhí)行 LDAP 查詢進(jìn)行枚舉。

Goddi 非常簡(jiǎn)單易用，下圖展示了如何進(jìn)行枚舉嘗試：

那么，在網(wǎng)絡(luò)流量中的情況呢？捕獲網(wǎng)絡(luò)流量，可以看到 Goddi 使用的是 LDAP 查詢。通常來說，我們會(huì)看到許多 LDAP searchRequest 消息，包括基于要查詢的數(shù)據(jù)類型的特定協(xié)議數(shù)據(jù)單元（PDU）。

例如，枚舉域中的計(jì)算機(jī)列表，并提取每個(gè)計(jì)算機(jī)的一些屬性，如下所示：

在 Wireshark 中解析流量，顯示了 LDAP 的 filter 和 attributes：

如果使用 tshark 的話，也很方便。例如，用 tshark 提取發(fā)給域控查詢的 LDAP searchRequest 請(qǐng)求。

檢測(cè)模型

在流量中解析 LDAP 查詢，并提供抽象層來獲取記錄類型。在 AWAKE 中發(fā)現(xiàn)此類偵察行為（MITRE ATT&CK ID：T1087、T1018、T1082、T1016、T1033）時(shí)，如下所示：

可視化明顯地看出源 Windows 設(shè)備試圖查詢目標(biāo)計(jì)算機(jī)的操作系統(tǒng)和工作站列表。

建議

由于偵察行為的普遍性，檢測(cè)偵察行為非常棘手。團(tuán)隊(duì)可以花費(fèi)時(shí)間對(duì)偵察活動(dòng)和正常域活動(dòng)進(jìn)行分類，比如基于頻率、時(shí)間范圍、發(fā)出請(qǐng)求的實(shí)體以及來自該實(shí)體的其他可疑行為。

從防御的角度看，建議收緊域控的 ACL 和權(quán)限。不幸的是，很多合法工具和服務(wù)也依賴于此。

關(guān)于狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用就分享到這里啦，希望上述內(nèi)容能夠讓大家有所提升。如果想要學(xué)習(xí)更多知識(shí)，請(qǐng)大家多多留意小編的更新。謝謝大家關(guān)注一下億速云網(wǎng)站！