LiDit3/AD-Attack-Research

## Цель Исследовать две техники атак на Active Directory: `DCSync` и `DCShadow`. Разработать, протестировать и задокументировать Sigma-правила для их детектирования в изолированной лабораторной среде. ## Описание Проект включает исследование двух техник атак на доменную инфраструктуру: - **DCSync** (MITRE ATT&CK: T1003.006) — извлечение хешей паролей через репликацию - **DCShadow** (MITRE ATT&CK: T1207) — несанкционированное изменение объектов AD через временный контроллер домена Для каждой атаки разработаны правила детекции в формате **Sigma**, протестированные в изолированной лабораторной среде. ## Статус выполнения | Этап | Статус | Примечание | |------|--------|------------| | Настройка лаборатории | ✅ Готово | VirtualBox, Windows Server 2019, AD DS, Audit Policy, Sysmon | | DCSync Research & Rule | ✅ Готово | Sigma v1, Chainsaw v2, native EVTX validation | | DCShadow Research & Rule | ✅ Готово | Sigma v1, attribute modification test, lab limitations documented | | Финальный отчёт | ✅ Готово | Готово к демонстрации | ## Структура репозитория ## 🛠️ Инструменты | Категория | Инструменты | |-----------|-------------| | Лаборатория | VirtualBox, Windows Server 2019, Windows 11, Kali Linux | | Атаки | Impacket (`secretsdump`), Mimikatz (`dcshadow`) | | Детекция | Sigma v1, Chainsaw v2, Windows Event Log | | Анализ | `wevtutil`, `Get-WinEvent`, `auditpol`, PowerShell | ## Быстрый старт # 1. Клонируйте репозиторий git clone https://github.com/LiDit3/AD-Attack-Research.git cd AD-Attack-Research # 2. Изучите инструкции по настройке лабы cat lab-setup/README.md # 3. Ознакомьтесь с правилами детекции cat attacks/dcsync/rules/dcsync_v1.yml cat attacks/dcshadow/rules/dcshadow_v1.yml # 4. Прочитайте отчёты о валидации cat attacks/dcsync/validation.md cat attacks/dcshadow/validation.md ## Безопасность Все тесты проводились в **полностью изолированной среде**. Никакие данные, логи или учётные данные production-систем не использовались. ## Источники - [MITRE ATT&CK: T1003.006](https://attack.mitre.org/techniques/T1003/006/) - [MITRE ATT&CK: T1207 (DCShadow)](https://attack.mitre.org/techniques/T1207/) - [Sigma HQ Rules](https://github.com/SigmaHQ/sigma) - [ADSecurity.org](https://adsecurity.org/) - [Chainsaw by WithSecure](https://github.com/WithSecureLabs/chainsaw) - [Mimikatz by gentilkiwi](https://github.com/gentilkiwi/mimikatz)