ADExplorer - cómo enumerar un dominio cuando el antivirus no está de acuerdo

ADExplorer – So listen Sie eine Domäne auf, wenn das Antivirenprogramm nicht zustimmt

24. Juni 2024 Celia Catalán

In der heutigen Ausgabe werden wir darüber sprechen, wie man eine Domain auflistet, wenn das Antivirenprogramm nicht zustimmt.

Während einer Sicherheitsüberprüfung ist die Aufzählung der Domäne eine entscheidende Aufgabe, um einen vollständigen Überblick über die Infrastruktur der Unternehmensdomäne zu erhalten, wofür Erfassungstools wie SharpHound oder PowerView verwendet werden. Diese Tools werden jedoch häufig von vorhandenen Antiviren- und anderen Sicherheitsmaßnahmen erkannt und blockiert. Darüber hinaus ist es angesichts der für eine Prüfung typischen Zeitbeschränkungen nicht immer möglich, diese Abwehrmaßnahmen erfolgreich zu umgehen, um die gewünschte Aufzählung durchzuführen.

In diesen Fällen besteht die Notwendigkeit, nach Alternativen zu suchen, die nicht nur effektiv, sondern auch diskret sind. Eine hervorragende Alternative ist ADExplorer.exe , ein von Sysinternals bereitgestelltes und von Microsoft signiertes Tool. Da ADExplorer von einer anerkannten Stelle wie Microsoft signiert ist, gilt es im Allgemeinen als nicht bösartig und wird daher weniger wahrscheinlich von Antivirenprogrammen blockiert.

Wenn ein Angreifer jedoch Tools wie ADExplorer ausnutzt. Es kann vorkommen, dass die LDAP-Abfrage objectClass=* oder objectGuid=* enthält. Dies ist nicht unbedingt ideal, da dies je nach Größe der Organisation eine große Menge an wiederherzustellenden Daten enthalten und die Kommunikation zwischen einem C2 und der Workstation, auf der der Agent ausgeführt wird, unterbrechen könnte.

Ausgehend von einem Domänenbenutzer können Sie mit ADExplorer die Domäne überprüfen und einen Snapshot des Active Directory in einer .dat-Datei erstellen. Obwohl dieser Snapshot nicht so viele detaillierte Informationen enthält wie eine von SharpHound durchgeführte vollständige Extraktion (es werden keine Sitzungen gezählt, kein Angriffspfad angegeben usw.), ist er dennoch ein sehr nützlicher Ausgangspunkt für die Domänenzählung.

Einer der wesentlichen Vorteile der Verwendung von ADExplorer ist die Möglichkeit, die generierte .dat-Datei zur weiteren Analyse in ein besser verwendbares Format zu konvertieren. Mit dem Tool ADExplorerSnapshot.py kann die .dat-Datei in das .json-Format konvertiert werden. Durch diese Konvertierung können die Daten in eine BloodHound-GUI importiert werden, einer weit verbreiteten Plattform zur Analyse und Visualisierung von Active Directory-Informationen. Auf diese Weise können Sie die gesammelten Informationen optimal nutzen und so ein besseres Verständnis der Netzwerkinfrastruktur und potenzieller Schwachstellen ermöglichen.

Darüber hinaus generiert ADExplorer Datenverkehr, den viele Netzwerküberwachungssysteme nicht als bösartig einstufen. Diese Funktion kann für Übungen des roten Teams sehr interessant sein, bei denen das Ziel darin besteht, die notwendigen Informationen zu sammeln, ohne entdeckt zu werden. Da ADExplorer mit seinem Datenverkehr keinen Verdacht erregt, wird es zu einem strategischen Tool für Sicherheitsexperten, die eine umfassende Prüfung durchführen möchten, ohne die Abwehrsysteme des Netzwerks zu alarmieren.