18Aswin/Active-Directory-Home-Lab

# Active Directory 家庭实验环境 — 安全监控与攻击模拟 ## 项目概述 该项目在 VirtualBox 中模拟了一个真实的企业网络环境。它涵盖了**蓝队（防御）**和**红队（进攻）**的安全操作——成为一个完整的端到端网络安全实验平台。 该实验环境是基于 MyDFIR 的 5 部分 Active Directory 系列搭建的，并因硬件限制和软件兼容性挑战进行了多项真实环境适配——所有细节均有完整记录。 ## 网络拓扑图 ``` ┌─────────────────────────────────────────────────────┐ │ NAT Network: 192.168.10.0/24 │ │ │ │ ┌──────────────┐ ┌──────────────────────┐ │ │ │ Kali Linux │ │ Windows 11 Ent. │ │ │ │ (Attacker) │──────▶│ (Target Machine) │ | │ │192.168.10.250│ RDP │ 192.168.10.100 │ │ │ └──────────────┘ Attack └──────────┬───────────┘ │ │ │ Logs │ │ ┌──────────────┐ ┌──────────▼───────────┐ │ │ │ Win Server │ │ Ubuntu Server │ │ │ │ 2022 (DC) │ │ Splunk SIEM │ │ │ │192.168.10.20 │ │ 192.168.10.10 │ │ │ │aswinAD.local │ │ Port: 8000 (Web) │ │ │ └──────────────┘ └──────────────────────┘ │ └─────────────────────────────────────────────────────┘ ``` ## 工具与技术 | 类别 | 工具 | 用途 | |---|---|---| | 虚拟化 | VirtualBox | 承载全部 4 台虚拟机 | | 域服务 | Windows Server 2022 | Active Directory 域控制器 | | 目标终端 | Windows 11 Enterprise Eval | 加入域的目标机器 | | 攻击机 | Kali Linux | RDP 暴力破解 + 侦察 | | SIEM | Splunk Enterprise 10.2.2 | 日志收集与威胁检测 | | 遥测 | Sysmon（SwiftOnSecurity 配置） | 高级 Windows 终端日志 | | 日志转发 | Splunk Universal Forwarder | 将 Windows 虚拟机日志发送到 Splunk | | 暴力破解 | Hydra | RDP 凭证暴力破解攻击 | | 攻击模拟 | Atomic Red Team | MITRE ATT&CK 技术模拟 | | 网络侦察 | Nmap | 端口扫描与服务发现 | ## 实验架构 | 机器 | 操作系统 | IP 地址 | 角色 | |---|---|---|---| | AD-SERVER01 | Windows Server 2022 | 192.168.10.20 | 域控制器（aswinAD.local） | | Target-PC | Windows 11 Enterprise Eval | 192.168.10.100 | 加入域的目标终端 | | Splunk-Server | Ubuntu Server 22.04 | 192.168.10.10 | SIEM（Splunk 10.2.2） | | Kali | Kali Linux | 192.168.10.250 | 攻击机 | **主机配置：** - 操作系统：Windows 11 - CPU：AMD Ryzen 7 6800H - 内存：16 GB - 存储：约 256 GB SSD ## 项目目标 - 构建一个功能完整的 Active Directory 域（aswinAD.local），包含组织单元和域用户 - 配置 Splunk 以收集并索引来自 Windows 终端的安全事件 - 安装 Sysmon 以实现比默认 Windows 日志更细粒度的终端遥测 - 使用 Kali Linux 上的 Hydra 模拟真实的 RDP 暴力破解攻击 - 在 Splunk 中检测并分析该攻击，利用 Windows 事件 ID 4625 和 4624 - 使用 Atomic Red Team 执行 MITRE ATT&CK 持久化技术 T1136.001 与 T1059.001 - 记录所有发现与检测结果 ## 项目章节 | 章节 | 主题 | 文档 | |---|---|---| | 第 1 部分 | 网络设计与 VirtualBox 配置 | [查看 →](docs/01-network-and-virtualbox-setup.md) | | 第 2 部分 | 虚拟机安装 | [查看 →](docs/02-vm-installations.md) | | 第 3 部分 | Splunk 与 Sysmon 配置 | [查看 →](docs/03-splunk-sysmon-setup.md) | | 第 4 部分 | Active Directory 配置 | [查看 →](docs/04-active-directory-config.md) | | 第 5 部分 | 攻击模拟与检测 | [查看 →](docs/05-attack-simulation.md) | ## 关键发现 ### 暴力破解攻击检测 - Hydra 成功使用自定义字典暴力破解了 EWhite 的 RDP 凭据 - Splunk 检测到一系列快速的 **事件 ID 4625**（登录失败），这是明显的暴力破解特征 - **事件 ID 4624**（登录成功）捕获了攻击成功的时刻 - 源 IP `192.168.10.250`（Kali Linux）在扩展事件详情中可见 ### Atomic Red Team — T1136.001（创建本地账户） - 在 Target-PC 上通过 Atomic Red Team 执行了持久化技术 - Splunk 检测到 **12 个事件**，涉及 **6 个唯一事件 ID**： | 事件代码 | 描述 | |---|---| | 4720 | 新用户账户被创建 | | 4722 | 用户账户已启用 | | 4724 | 密码重置尝试 | | 4726 | 用户账户被删除（ART 清理） | | 4738 | 用户账户被更改 | | 4798 | 枚举本地组成员资格 | ### Atomic Red Team — T1059.001（PowerShell 执行） - 在 Target-PC 上通过 Atomic Red Team 执行了命令执行技术 - Splunk 在 15 分钟窗口内检测到 **524 个事件** - 源确认为 `Target-PC.aswinAD.local` - Sysmon 捕获了完整的 PowerShell 执行链，包括进程哈希、父子进程关系以及 DLL 加载活动 | 详情 | 值 | |---|---| | 技术 | T1059.001 — PowerShell | | 战术 | 执行 | | 检测到事件 | 524 | | 源 | Target-PC.aswinAD.local | | 日志来源 | XmlWinEventLog:Microsoft-Windows-Sysmon/Operational | | 关键进程 | powershell.exe → SOAPHound.exe | | 检测 | 通过 Sysmon 完整可见 | ## 📸 截图 所有证据截图位于 [`screenshots/`](screenshots/) 文件夹中。 | 截图 | 描述 | |---|---| | `hydra_rdp1.png` | 显示成功连接至主机 EWhite 的 RDP | | `hydra_rdp2.png` | RDP 详细信息 | | `Splunk_Running.png` | Splunk 运行状态 | | `Splunk_IP.png` | Splunk IP 地址 | | `Login.png` | Windows Server 2022 AD 登录 | | `Server_Manager_Dashboard.png` | Windows Server 管理器仪表板 | | `Splunk_Host.png` | Splunk 仪表板主机信息 | | `Splunk_Source.png` | Splunk 仪表板来源信息 | | `splunk-4624-success.png` | 事件 ID 4624 显示攻击者成功登录 | | `splunk-462-fail.png` | 事件 ID 462 显示攻击者登录失败 | | `Atomic_Red_Team-Local_Account_Creation.png` | Atomic Red Team 攻击 T1136.001 | | `Local_Account_Event_Detection.png` | 在 Splunk 中检测到来自 T1136.001 的事件 | | `Atomic_Red_Team-Powershell_Command_and_Scripting_Interpreter.png` | Atomic Red Team 攻击 T1059.001 | | `Attacker-IP.png` | 攻击机 IP 详细信息 | | `Brute_Force_Event_codes.png` | 来自 Splunk 的暴力破解事件代码 | | `Local_Domain_Connection.png` | 连接至域 aswinAD.local | ## 展示的技能 - Active Directory 域配置与用户管理 - SIEM 部署与日志收集（ Splunk ） - 使用 Sysmon 进行终端遥测 - 虚拟化环境中的网络配置 - RDP 暴力破解攻击执行与检测 - MITRE ATT&CK 框架应用（T1136.001） - Windows 事件日志分析（事件 ID 4624、4625、4720、4722、4724、4726、4738、4798） - 真实环境排错（操作系统版本问题、NLA 兼容性、DNS 配置） - 技术文档与作品集开发 ## 仓库结构 ``` Active-Directory-Home-Lab/ ├── README.md ├── network-diagram.png ── docs/ │ ├── 01-network-and-virtualbox-setup.md │ ├── 02-vm-installations.md │ ├── 03-splunk-sysmon-setup.md │ ├── 04-active-directory-config.md │ ├── 05-attack-simulation.md │ └── 06-deviations-from-tutorial.md ├── screenshots/ │ └── (all evidence screenshots) └── configs/ ├── inputs.conf └── sysmonconfig.xml ``` *由 Aswin 构建*

标签：Active Directory, AMSI绕过, Atomic Red Team, Cloudflare, CTI, DNS 解析, Hydra, Maven, MITRE ATT&CK, MyDFIR, NAT网络, PE 加载器, Plaso, RDP暴力破解, StruQ, Sysmon, Ubuntu Server, VirtualBox, Windows 11, Windows Server 2022, 企业网络, 域环境模拟, 威胁检测, 安全演练, 攻击模拟, 数据展示, 数据泄露检测, 无线安全, 日志采集, 模拟器, 漏洞验证, 端点检测, 红队, 网络安全实验, 网络安全审计, 网络隔离, 虚拟化, 驱动签名利用