域安全入侵感知系统WatchAD


  • WatchAD 是 360 公司在面临高级域渗透活动的威胁下,研发出的一款威胁检测产品。适用于基于 Windows 域构建的企业内网。通过对域控服务器数据的即时分析,WatchAD 能够及时准确发现高级域渗透活动,检测覆盖内网攻击杀伤链大部分手法。

    本产品作为内部安全防线的最后关键一环,可让企业具备针对公司级别高级域渗透活动的感知与预警能力,加固基于 Windows 域的办公网安全。

    WatchAD收集所有域控上的事件日志和 kerberos 流量,通过特征匹配、Kerberos 协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,威胁检测项覆盖了目前大部分常见的内网域渗透手法。

    WatchAD的检测功能包括信息探测:使用SAMR查询敏感用户组、使用 SAMR 查询敏感用户、蜜罐账户的活动、PsLoggedOn 信息收集;凭证盗取:Kerberoasting(流量)、AS-REP Roasting、远程 Dump 域控密码;横向移动:账户爆破、显式凭据远程登录、目标域控的远程代码执行、未知文件共享名、Kerberos票据加密方式降级(流量)、异常的 Kerberos 票据请求(流量);权限提升:ACL 修改、MS17-010 攻击检测、新增组策略监控、NTLM 中继检测、基于资源的约束委派权限授予检测、攻击打印机服务 SpoolSample、未知权限提升、MS14-068 攻击检测(流量)、Kerberos约束委派滥用(流量);权限维持:AdminSDHolder 对象修改、DCShadow 攻击检测、DSRM 密码重置、组策略委派权限授予检测、Kerberos 约束委派权限授予检测、敏感用户组修改、域控新增系统服务、域控新增计划任务、SIDHistory 属性修改、万能钥匙-主动检测、万能钥匙-被动检测(流量)、黄金票据(流量);防御绕过:事件日志清空、事件日志服务被关闭。

    WatchAD的核心优势在于检测覆盖广,准确度高;兼容性好,轻量化部署。可应用于抵御高级域渗透威胁或者攻防演习。

    项目地址: https://github.com/0Kee-Team/WatchAD

    d1cce21d-6a6b-408f-bd08-c0771dd94901-image.png