域安全入侵感知系统WatchAD

蝶蛹烦起

WatchAD 是 360 公司在面临高级域渗透活动的威胁下，研发出的一款威胁检测产品。适用于基于 Windows 域构建的企业内网。通过对域控服务器数据的即时分析，WatchAD 能够及时准确发现高级域渗透活动，检测覆盖内网攻击杀伤链大部分手法。

本产品作为内部安全防线的最后关键一环，可让企业具备针对公司级别高级域渗透活动的感知与预警能力，加固基于 Windows 域的办公网安全。

WatchAD收集所有域控上的事件日志和 kerberos 流量，通过特征匹配、Kerberos 协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁，威胁检测项覆盖了目前大部分常见的内网域渗透手法。

WatchAD的检测功能包括信息探测：使用SAMR查询敏感用户组、使用 SAMR 查询敏感用户、蜜罐账户的活动、PsLoggedOn 信息收集；凭证盗取：Kerberoasting（流量）、AS-REP Roasting、远程 Dump 域控密码；横向移动：账户爆破、显式凭据远程登录、目标域控的远程代码执行、未知文件共享名、Kerberos票据加密方式降级（流量）、异常的 Kerberos 票据请求（流量）；权限提升：ACL 修改、MS17-010 攻击检测、新增组策略监控、NTLM 中继检测、基于资源的约束委派权限授予检测、攻击打印机服务 SpoolSample、未知权限提升、MS14-068 攻击检测（流量）、Kerberos约束委派滥用（流量）；权限维持：AdminSDHolder 对象修改、DCShadow 攻击检测、DSRM 密码重置、组策略委派权限授予检测、Kerberos 约束委派权限授予检测、敏感用户组修改、域控新增系统服务、域控新增计划任务、SIDHistory 属性修改、万能钥匙-主动检测、万能钥匙-被动检测（流量）、黄金票据（流量）；防御绕过：事件日志清空、事件日志服务被关闭。

WatchAD的核心优势在于检测覆盖广，准确度高；兼容性好，轻量化部署。可应用于抵御高级域渗透威胁或者攻防演习。

项目地址： https://github.com/0Kee-Team/WatchAD