dhaya0x44/AD-Attack-Detection-Lab

# 🧠 Active Directory 攻击 + 检测工程实验室 ## 🔍 概述 本项目演示了完整的 **Active Directory 攻击生命周期**，并结合 **Suricata、Raspberry Pi 和 Grafana** 进行 **检测工程与基于网络的监控**。 目标是模拟企业 AD 环境中的真实对手行为，并通过检测管道构建可见性——模拟现代 SOC 和检测工程的工作流程。 ## ⚙️ 架构

### 🔄 数据流 - **Kali Linux（攻击者）** → 执行 AD 攻击 - **Active Directory（DC + 客户端）** → 目标环境 - **Suricata（IDS）** → 捕获网络活动 - **Raspberry Pi（日志收集器）** → 聚合日志 - **Grafana + Loki** → 可视化与分析 ## 🧪 攻击场景 ### 1. 网络侦察 - 使用 SMB 扫描识别主机和服务 - 绘制域控制器和客户端系统 ``` crackmapexec smb 10.0.0.0/24 ``` **MITRE ATT&CK 映射：** - T1046 – 网络服务发现 - T1018 – 远程系统发现 ### 2. LDAP 枚举 - 枚举域用户和计算机 - 使用低权限凭据提取 AD 结构 ``` ldapsearch -x -H ldap://10.0.0.10 -D "lab\\john" -w Password123 -b "dc=lab,dc=local" "(objectClass=user)" sAMAccountName ``` **MITRE ATT&CK 映射：** - T1087 – 账户发现 - T1482 – 域信任发现 ### 3. SMB 枚举 - 发现可访问的共享 - 使用有效凭据访问数据 - 演示潜在的数据暴露 **MITRE ATT&CK 映射：** - T1135 – 网络共享发现 - T1021.002 – SMB/Windows 管理共享 ### 4. 密码喷洒 - 识别跨用户的弱凭据 - 避免账户锁定 ``` crackmapexec smb 10.0.0.0/24 -u john -p Password123 ``` **MITRE ATT&CK 映射：** - T1110.003 – 密码喷洒 ### 5. Kerberoasting - 提取服务账户票据（基于 SPN） - 离线破解凭据 ``` impacket-GetUserSPNs lab.local/john:Password123 -dc-ip 10.0.0.10 -request ``` **MITRE ATT&CK 映射：** - T1558.003 – Kerberoasting ### 🔓 离线密码破解 - 提取 Kerberos 票据哈希 - 使用 John the Ripper 进行离线破解 - 恢复明文凭据 ``` john --wordlist=word.txt Hash.txt ``` **MITRE ATT&CK 映射：** - T1110 – 暴力破解 ### 6. BloodHound 枚举 - 收集 AD 关系数据 - 识别权限提升路径 ``` bloodhound-python -d lab.local -u john -p Password123 -dc dc01.lab.local -ns 10.0.0.10 --dns-tcp --disable-autogc -c all --zip ``` **MITRE ATT&CK 映射：** - T1482 – 域信任发现 - T1069.002 – 权限组发现（域组） ### 7. 权限提升 - 配置错误导致域管理员权限 - 演示完整的域妥协 **MITRE ATT&CK 映射：** - T1068 – 权限提升利用 - T1078 – 有效账户 ### 8. 横向移动 - 在域系统上执行命令 - 验证管理控制 **MITRE ATT&CK 映射：** - T1021 – 远程服务 - T1021.002 – SMB/Windows 管理共享 ## 🧠 检测工程 本项目包含使用 Suricata 进行 **基于网络的检测工程**，以识别 AD 环境中的攻击模式。 ### 🔐 检测 1：网络侦察（扫描） **描述：** 检测高容量扫描活动 ``` alert tcp any any -> any any (msg:"NMAP Scan Detected"; flags:S; threshold:type both, track by_src, count 10, seconds 5; sid:1000001;) ``` **MITRE ATT&CK：** - T1046 – 网络服务发现 ### 📂 检测 2：SMB 活动 **描述：** 识别 SMB 枚举活动 ``` alert tcp any any -> any 445 (msg:"SMB Connection Detected"; sid:1000002;) ``` ### 🧨 检测 3：横向移动 ``` alert tcp any any -> any 445 (msg:"Possible Lateral Movement SMB Burst"; threshold:type both, track by_src, count 5, seconds 10; sid:1000003;) ``` ### 🔥 检测 4：Kerberos 活动 ``` alert tcp any any -> any 88 (msg:"Kerberos Activity Detected"; sid:1000004;) ``` ### 🧾 检测 5：NTLM 认证 ``` alert tcp any any -> any 445 (msg:"NTLM Authentication Attempt"; content:"NTLMSSP"; sid:1000005;) ``` ## 🚨 检测总结 成功检测到以下攻击行为： - 网络扫描 - SMB 枚举 - 凭据攻击 - Kerberos 活动 - 横向移动 ## 📊 日志管道 Suricata → Raspberry Pi → Loki → Grafana ## 📈 结果 - 成功模拟完整的 Active Directory 攻击生命周期，涵盖侦察、凭据访问、权限提升和横向移动 - 在多个攻击阶段生成并捕获高保真网络遥测数据（使用 Suricata） - 通过集中化日志和监控管道建立对攻击者行为的端到端可见性 - 通过自定义 IDS 规则和实时仪表板关联攻击活动，验证检测能力 ## 🛠️ 使用技术 - Active Directory - Kali Linux - CrackMapExec - Impacket - BloodHound - Suricata IDS - Raspberry Pi - Grafana + Loki ## 🛡️ 关键收获 - 深入理解 Active Directory 攻击技术，包括枚举、Kerberoasting 和权限提升路径 - 实际识别和利用企业环境中的弱凭据和配置错误 - 动手实现基于网络遥测和 IDS 规则开发的检测工程 - 通过日志分析、攻击关联和行为跟踪强化 SOC 调查技能 - 应用 MITRE ATT&CK 框架映射对手技术并验证检测覆盖 ## 📸 攻击演示 ### 🔍 网络侦察

### 🔐 LDAP 枚举

### 📂 SMB 枚举

### 🔓 密码喷洒

### 🔥 Kerberoasting

### 🔓 密码破解

### 🧠 BloodHound 分析

### 🚨 权限提升

### 🧨 横向移动

### 📊 Grafana 仪表板

### 🛡️ Suricata 告警（fast.log）

### 🧾 Suricata 日志（eve.json）

## 💼 专业相关性 本项目展示了在以下方面的实践经验： - Active Directory 攻击技术（枚举、Kerberoasting、权限提升、横向移动） - 基于网络遥测的检测工程 - 威胁狩猎与攻击者行为分析 - SOC 监控与事件调查流程 - Active Directory 安全与配置错误利用 它反映了真实的 enterprise 攻击场景和检测流程，与 SOC 分析员、检测工程师和安全分析师的职责相一致。 ## 📌 结论 本项目演示了完整的安全运营工作流，涵盖对手模拟、遥测生成、检测工程和分析调查，部署在 Active Directory 环境中。 它展示了模拟真实攻击技术、捕获和处理安全相关数据，以及制定与企业 SOC 运营相一致的有效检测的能力。 总体而言，该项目在进攻和防御安全领域体现了强大的实际操作能力，重点在于理解攻击者行为并使用行业标准工具构建有效的检测策略。

标签：Active Directory, AMSI绕过, Cloudflare, Grafana, Kerberoasting, LDAP, Loki, Maven构建, Metaprompt, MITRE ATT&CK, Mutation, Plaso, Raspberry Pi, SMB, Suricata, Terraform 安全, 企业安全, 内存执行, 可视化, 域信任, 威胁检测, 安全可视化, 安全实验, 密码喷洒, 开源安全, 插件系统, 攻击模拟, 数据展示, 日志聚合, 日志采集, 现代安全运营, 管理员页面发现, 红队, 网络发现, 网络资产管理, 错误配置检测, 驱动签名利用