TaoTheReaper/ad-attack-defense-lab

GitHub: TaoTheReaper/ad-attack-defense-lab

一个基于 VirtualBox 构建的 Active Directory 攻防实验室，将经典域渗透攻击剧本与 Sigma 检测规则和 Splunk 查询一一配对，帮助安全从业者从攻击者和防御者双重视角理解完整杀伤链。

Stars: 0 | Forks: 0

# AD 攻防实验室 ![Active Directory](https://img.shields.io/badge/Active%20Directory-Attack%20%26%20Defense-red?style=for-the-badge&logo=windows) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-orange?style=for-the-badge) ![Sigma](https://img.shields.io/badge/Sigma-Detection%20Rules-blue?style=for-the-badge) ## 概述一个用于学习 Active Directory 攻击技术及其相应检测方法的自包含实验室。基于 VirtualBox 构建，采用逼真的 3 节点设置：域控制器、两台 Windows 客户端以及一台 Kali 攻击机。 ## 为什么做这个项目展示了在 SOC/Blue Team 岗位中最相关的企业技术上的攻防思维。每个攻击剧本都与一条 Sigma 检测规则和 SIEM 查询语句配对——展示了从攻击者视角到分析师响应的完整杀伤链。 ## 实验室架构 ``` ┌─────────────────────────────────────────┐ │ VirtualBox Host-Only Network │ │ 192.168.56.0/24 │ │ │ │ ┌──────────┐ ┌──────────┐ │ │ │ DC01 │ │ WS01 │ │ │ │ Win Srv │ │ Win 10 │ │ │ │ .10 │ │ .20 │ │ │ └──────────┘ └──────────┘ │ │ ┌──────────┐ │ │ │ KALI │ │ │ │ Attacker │ │ │ │ .100 │ │ │ └──────────┘ │ └─────────────────────────────────────────┘ ``` ## 攻击剧本 | 技术 | MITRE | 剧本 | Sigma 规则 | Splunk 查询 | |-----------|-------|----------|------------|--------------| | Kerberoasting | T1558.003 | [链接](attacks/kerberoasting.md) | [链接](detections/sigma/kerberoasting.yml) | [链接](detections/splunk/queries.md#kerberoasting) | | AS-REP Roasting | T1558.004 | [链接](attacks/asrep-roasting.md) | [链接](detections/sigma/asrep-roasting.yml) | [链接](detections/splunk/queries.md#asrep-roasting) | | DCSync | T1003.006 | [链接](attacks/dcsync.md) | [链接](detections/sigma/dcsync.yml) | [链接](detections/splunk/queries.md#dcsync) | | Pass-the-Hash | T1550.002 | [链接](attacks/pass-the-hash.md) | [链接](detections/sigma/pass-the-hash.yml) | [链接](detections/splunk/queries.md#pass-the-hash) | | Golden Ticket | T1558.001 | [链接](attacks/golden-ticket.md) | [链接](detections/sigma/golden-ticket.yml) | [链接](detections/splunk/queries.md#golden-ticket) | | BloodHound 侦察 | T1069.002 | [链接](attacks/bloodhound-recon.md) | [链接](detections/sigma/bloodhound-recon.yml) | [链接](detections/splunk/queries.md#bloodhound) | ## 设置 ### 要求 - VirtualBox 7.x - Windows Server 2019 ISO（评估版，免费） - Windows 10 ISO（评估版，免费） - Kali Linux ISO ### 构建实验室 ``` # 在 DC 上 — 以 Administrator 身份运行 .\setup\configure-dc.ps1 -DomainName "lab.local" -DomainNetBIOS "LAB" # 在每个 Windows 客户端上 .\setup\configure-clients.ps1 -DCAddress "192.168.56.10" ``` ## MITRE ATT&CK 覆盖范围有关完整的技术到检测的映射矩阵，请参阅 [mitre/mapping.md](mitre/mapping.md)。 ## 经验总结 - 如果没有适当的审计策略，Kerberoasting 几乎是无声无息的——仅 EventID 4769 就会产生大量噪音；应按加密类型 RC4 (0x17) 进行过滤 - DCSync 检测需要审计 Directory Service Access——默认情况下处于禁用状态 - BloodHound 枚举会产生海量的 LDAP 查询流量；建立流量基线是关键 - AS-REP Roasting 仅对配置了“Do not require Kerberos preauthentication”的账户有效——审计此设置是一个快速见效的方法 ## 参考资料 - [MITRE ATT&CK - 域凭证访问](https://attack.mitre.org/tactics/TA0006/) - [Sigma 规则项目](https://github.com/SigmaHQ/sigma) - [BloodHound 文档](https://bloodhound.readthedocs.io/) - [Impacket 套件](https://github.com/fortra/impacket)

标签：Active Directory, AI合规, AMSI绕过, Cloudflare, Libemu, MITRE ATT&CK, Modbus, OPA, PE 加载器, Plaso, Sigma规则, VirtualBox, Web报告查看器, Windows Server, 企业安全, 域控安全, 威胁检测, 安全实验, 安全运营, 扫描框架, 插件系统, 攻击与防御, 攻击剧本, 无线安全, 模拟器, 目标导入, 网络安全, 网络资产管理, 隐私保护, 靶场