前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何使用FarsightAD在活动目录域中检测攻击者部署的持久化机制

如何使用FarsightAD在活动目录域中检测攻击者部署的持久化机制

作者头像
FB客服
发布2023-02-10 14:47:12
6170
发布2023-02-10 14:47:12
举报
文章被收录于专栏:FreeBufFreeBuf

关于FarsightAD

FarsightAD是一款功能强大的PowerShell脚本,该工具可以帮助广大研究人员在活动目录域遭受到渗透攻击之后,检测到由攻击者部署的持久化机制。

该脚本能够生成并导出各种对象及其属性的CSV/JSON文件,并附带从元数据副本中获取到的时间戳信息。除此之外,如果使用了复制权限执行该工具的话,则可以利用目录复制服务(DRS)协议来检测完全或部分隐藏的对象。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地

代码语言:javascript
复制
git clone https://github.com/Qazeer/FarsightAD.git

工具要求

FarsightAD需要PowerShell7以及对应版本的ActiveDirectory模块。在Windows 10/11操作系统上,可以通过可选功能来安装该模块。

如果安装成功,则可以使用下列命令来更新该模块:

代码语言:javascript
复制
Add-WindowsCapability -Online -Name Rsat.ServerManager.Tools~~~~0.0.1.0

(向右滑动、查看更多)

如果模块成功更新完成,那么Get-Command Get-ADObject则会返回下列信息:

代码语言:javascript
复制
CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Cmdlet          Get-ADObject                                       1.0.X.X    ActiveDirectory
代码语言:javascript
复制
(向右滑动、查看更多)

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

代码语言:javascript
复制
git clone https://github.com/Qazeer/FarsightAD.git

工具基础使用

代码语言:javascript
复制
. .\FarsightAD.ps1
Invoke-ADHunting [-Server <DC_IP | DC_HOSTNAME>] [-Credential <PS_CREDENTIAL>] [-ADDriveName <AD_DRIVE_NAME>] [-OutputFolder <OUTPUT_FOLDER>] [-ExportType <CSV | JSON>]

许可证协议

本项目的开发与发布遵循CC0-1.0开源许可证协议。

项目地址

FarsightAD:https://github.com/Qazeer/FarsightAD

参考资料:

https://github.com/Qazeer/FarsightAD/blob/main/SANS_DFIR_Summit_2022-Hunting_for_Active_Directory_persistence-v1.2.pdf https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools https://github.com/vletoux/MakeMeEnterpriseAdmin https://github.com/gentilkiwi/mimikatz https://github.com/b4rtik/SharpKatz https://www.powershellgallery.com/packages/ADComputerKeys/1.0.0/Content/ADComputerKeys.psm1 https://posts.specterops.io/certified-pre-owned-d95910965cd2 https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/ https://github.com/adbertram/Random-PowerShell-Work/blob/master/ActiveDirectory/ActiveDirectorySPN.psm1 https://twitter.com/_Qazeer

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-12-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 关于FarsightAD
  • 工具下载
  • 工具要求
  • 工具下载
  • 工具基础使用
  • 许可证协议
  • 项目地址
  • 参考资料:
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档