引言  

Active Directory（AD）是企业IT环境中用户认证、访问控制和身份管理的核心。因其掌握整个网络的"钥匙"，AD常成为攻击者的首要目标。  

从凭证转储到隐蔽侦察，攻击者通过多种手段控制AD。无论您是网络安全分析师、红队成员还是系统管理员，理解这些攻击手法对防御基础设施至关重要。  

本文将详解十大常见Active Directory攻击技术——运作原理、危害性及防御措施。  

✅ Active Directory为何成为攻击目标？  
Active Directory是微软的目录服务，用于Windows网络中的用户认证、权限和资源管理。一旦控制AD，攻击者可：  
- 横向渗透内网  
- 提权至域管理员  
- 访问机密文件与系统  
- 维持长期驻留  

十大Active Directory攻击手法详解  

1. Kerberoasting  
攻击者通过请求SPN（服务主体名称）的服务票据并离线破解服务账户密码，且不触发警报。  
工具：Rubeus  
防护：使用高强度服务账户密码并监控票据请求。  

实例：
攻击者通过PowerShell脚本请求所有SPN账户的TGS票据，获取到SQL服务账户MSSQL_SVC的加密票据后，使用Hashcat在GPU集群上离线爆破，6小时后破解出弱密码$QL_Admin!2023，进而控制数据库服务器。

Rubeus.exe kerberoast /outfile:hashes.txt

2. 密码喷洒(Password Spraying)  
攻击者用少量通用密码尝试大量账户，规避账户锁定机制。  
工具：CrackMapExec、Hydra  
防护：启用多因素认证(MFA)及严格密码策略。  

实例：
攻击者使用公司名称Company2025!作为通用密码，针对500个AD账户发起认证尝试，最终突破3个未启用MFA的VPN账户，其中包括一名财务部员工。
典型攻击日志特征：
同一IP在短时间内对多个账户使用相同密码登录失败。

3. LLMNR/NBT-NS投毒  
劫持本地网络名称解析以窃取NTLM哈希。攻击者伪造名称解析响应。  
工具：Responder  
防护：通过组策略禁用LLMNR和NBT-NS。  

实例：
内网用户误输入共享路径\\fileshare01（正确名为\\fileshare1），攻击者通过Responder工具伪造响应，诱骗用户发送NTLMv2哈希，随后用该哈希通过PtH攻击入侵文件服务器。
数据包特征：
LLMNR协议响应来自非真实文件服务器的IP。

4. 哈希传递(Pass-the-Hash, PtH)  
直接使用NTLM哈希而非明文密码进行身份验证。  
工具：Mimikatz  
防护：启用Windows Credential Guard并设置唯一本地管理员密码。  

实例：
攻击者从已攻陷的IT运维工作站内存中提取本地管理员哈希aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0，通过Mimikatz直接登录域控服务器。
防御关键：
启用Credential Guard后，Mimikatz无法提取内存中的明文凭据。

5. 默认凭证攻击  
利用设备/服务的默认账号密码（如admin:admin）入侵。  
防护：部署系统前修改所有默认凭证。  

实例：
新部署的NAS设备未修改默认凭证admin:admin123，攻击者通过Shodan搜索暴露在公网的该设备，上传WebShell后进一步渗透内网。
常见目标：
路由器、摄像头、IoT设备的管理界面。

6. 硬编码凭证  
开发者将凭证嵌入脚本或代码库导致泄露。  
风险：常见于DevOps流程  
防护：使用密钥管理工具（如HashiCorp Vault）。

实例：
某公司GitHub代码仓库中泄露了包含数据库连接字符串的配置文件：

<connectionString>Server=DB01;User=sa;Password=P@ssw0rd123</connectionString>

7. 权限提升  
攻击者利用漏洞或配置错误获取更高域权限。  
方法：令牌模拟、DACL配置错误  
防护：定期审计、强化组策略。  

实例：
攻击者发现某服务账户对域控的ACL配置错误（允许修改组策略），通过PowerShell添加自己的账户到Domain Admins组：

Add-ADGroupMember "Domain Admins" -Members "Hacker_Account"

8. LDAP侦察  
通过LDAP查询获取用户/组/权限信息（无需高权限）。  
工具：ldapsearch、PowerView  
防护：限制普通用户读取权限并监控LDAP查询。  

实例：
攻击者使用低权限账户执行LDAP查询，获取所有高权限账户列表：

ldapsearch -h dc01 -x -b "dc=example,dc=com" "(memberOf=CN=Domain Admins,CN=Users)"

9. BloodHound侦察  
利用图论分析AD中的权限路径，快速定位域管理员提权路径。  
工具：BloodHound  
防护：清理冗余权限，使用Azure ATP检测。  

实例：
BloodHound分析显示，开发部门的DEV_Test服务账户可通过嵌套组关系间接获得域控写入权限。攻击者利用此路径在15分钟内完成提权。
可视化证据：
BloodHound生成的权限继承图中存在DEV_Test → Domain Admins的红色攻击路径。

10. NTDS.dit提取  
从域控制器提取存储所有域凭证的NTDS.dit文件离线破解。  
工具：SecretsDump、Mimikatz  
防护：限制域控制器物理/远程访问，监控卷影拷贝操作。  

实例：
攻击者通过漏洞获得域控的SYSTEM权限后，创建卷影副本提取C:\Windows\NTDS\ntds.dit文件，结合注册表中的SYSTEM密钥，使用secretsdump.py破解出全部域用户哈希。
检测指标：
域控服务器出现异常的vssadmin.exe进程创建记录。

Active Directory安全防护策略  

攻击常用工具  

- Mimikatz：凭证转储与令牌操纵  
- Rubeus：Kerberos票据攻击  
- Responder：LLMNR/NBT-NS欺骗  
- BloodHound：AD关系图谱分析  
- Impacket/SecretsDump：NTDS.dit提取  

常见问题解答（FAQ）  

Q：什么是Active Directory攻击？  
A：指利用微软AD身份管理系统的漏洞获取未授权访问、提权或横向移动的行为。  

Q：为何AD常被黑客攻击？  
A：AD控制关键系统和数据的访问权限，一旦失守意味着整个IT基础设施沦陷。  

Q：如何防御哈希传递(PtH)攻击？  
A：启用Credential Guard并确保本地管理员密码唯一。  

Q：BloodHound对攻击者有何价值？  
A：通过可视化AD权限关系图，快速发现隐蔽的提权路径。