域渗透技巧之使用DCShadow静默关闭Active Directory审计

来源：

https://www.labofapenetrationtester.com/2018/05/dcshadow-sacl.html

感谢文森特和本杰明， 我对DCShadow的迷恋仍在继续。我以前也在博客上写过关于DCShadow的文章。。

我最近发现的一个非常有趣的事情， DCShadow能够修改系统访问控制列表或SACL。当我们在AD对象上启用成功或失败的审计时，会向该对象的 SACL添加一个条目（称为ACE -访问控制条目）。对象的权限由 DACL控制。例如，我们在上一篇文章中修改了 AdminSDHolder的 DACL来实现权限持久化。

问题描述

因此， SACL控制AD对象的审计（日志记录）。这意味着如果我们想在渗透测试期间避免系统记录我们的活动行为，我们应该在第一时间关闭它。没错？但这很容易吗？

假设在 AdminSDHolder容器上打开了完整审计，甚至记录了读取操作。那么 SACL的配置如下图所示：

SACL管理着一些东西的事件记录。例如，使用上述审计设置，如果我们将用户的完全控制权限添加到 AdminSDHolder来进行持久化，则会产生记录事件 ID4662：

现在，我们想关闭 AdmingerHolder对象的审计，避免产生上述日志。

这可以通过删除 ACE来完成。但删除的过程并不像我们希望的那样是静默完成的。删除 ACE会导致产生更多的 4662事件：

如果我们定位该用户对象并删除对该用户的审计，则除了产生多个 4662事件之外还会产生 4738事件（用户帐户管理）。

解决方案

现在，我们该如何利用 DCShadow静默删除审计呢？尝试以下命令设置 AdminSDHolder的AC来关闭增强的审计：

Bingo！关闭日志记录的操作并没有产生日志。当然，因为没有产生日志，所以我无法直接向你证明没有日志:P，但我们可以看看最新的SACL：

请注意，系统仍然产生了与DCShadow相关的日志（4742用于注册为DC的计算机，4662用于域对象），但再没有其他日志内容了。

请注意，上面的审计条目是 S ： PAI （ AU; CIFA; DT ;;; WD ）

这是什么意思呢？

S： - SACL

PAI - 阻止从较高对象继承

AU - 系统审计

CI - 容器继承 - 子对象继承此项。

FA - 审计失败

DT - 删除树 - 除了记录此事件的可能性比较小之外，没有使用此条目的特殊理由。

WD - Everyone

如果你不熟悉SDDL，请通过Technet上的这些文章作为开始：安全描述符定义爱的语言（第1部分）和第2部分。

那么为什么是上面的条目呢？其实并没有特别的理由。我想，删除一个条目比删除所有条目更好。如果你想要使用一个只是 S* : *PAI 的无效SACL，那么在GUI中的设置如下图所示：

你可以使用下面的代码读取对象的现有ACL。要轻松获取所需的ACE，可以使用GUI进行设置，然后使用以下代码读取条目：

PS C:\\> Import-Module ActiveDirectory
PS C:\\> (Get-Acl 'AD:\CN=AdminSDHolder,CN=System,DC=offensiveps,DC=com' -Audit).SDDL

进一步的研究

目前的研究很好，但是有很多机会对此进行进一步的研究。比如，在我们推送属性之前，当mimkatz执行"属性检查"时，系统仍然会记录一个4662事件。我阅读了mimikatz的源代码，并试图避免产生日志，但没有成功。

此外，我找不到关闭域对象的默认SACL的方法。从理论上讲，这应该可以通过我们上面使用的类似的命令轻松完成！

另外，还存在基于日志缺失的检测。除非我们对审计进行最小程度的修改，否则我们仍会被系统检测到。