zBang：可檢測潛在特權帳戶威脅的風險評估工具

zBang是一個用於檢測掃描網路中潛在特權帳戶威脅的風險評估工具，組織或紅隊可利用zBang來識別潛在的攻擊向量改善網路的安全狀況，並可通過圖形界面或查看原始輸出文件來分析結果。

關於zBang的更詳細介紹，請參閱@Hechtov的博文：https://www.cyberark.com/threat-research-blog/the-big-zbang-theory-a-new-open-source-tool/

該工具由五個不同的掃描模塊構建：

ACLight scan

 - 發現必須受保護的最高許可權帳戶，包括可疑的Shadow Admins。

Skeleton Key scan

 - 發現可能被Skeleton Key惡意軟體感染的域控制器。

SID History scan

 - 使用secondary SID（SID歷史記錄屬性）發現域帳戶中的隱藏許可權。

RiskySPNs scan

 - 發現可能導致域管理員憑據竊取的SPN風險配置。

Mystique scan

 - 發現網路中有風險的Kerberos委派配置。

執行要求

與域用戶一起運行它。掃描不需要任何額外的許可權；該工具對DC執行只讀LDAP查詢。

從已加入域的計算機（Windows計算機）運行該工具。

PowerShell version 3或更高版本，以及.NET 4.5（默認情況下在Windows 8/2012及更高版本中提供）。

快速入門指南

1. 從GitHub下載並運行最新版或使用你喜歡的編譯器進行編譯。

2. 在打開的界面中，選擇你要執行的掃描。在以下示例中，選中了所有五個掃描模塊：

3. 要查看演示結果，請單擊「Reload」。zBang工具帶有內置的啟動演示數據；你可以查看不同掃描的結果並使用圖形界面進行播放。

4. 要在網路中啟動新掃描，請單擊「Launch」。這將彈出一個新窗口，並顯示不同掃描的狀態。

5. 掃描完成後，將顯示一條消息說明結果已導出到外部zip文件。

6. zip文件位於zBang的同一文件夾中，並且具有唯一的名稱，其中包含掃描的時間和日期。你還可以將先前的結果導入zBang GUI，而無需重新運行掃描。要導入先前的結果，請在zBang的打開界面中單擊「Import」。

zBang結果瀏覽

A. ACLight scan

1. 選擇你掃描的域。

2. 你將看到一個已發現的最高許可權帳戶的列表。

3. 在左側 - 查看「standard」標準許可權帳戶由於其組成員身份而獲得的許可權。

4. 在右側 - 查看「Shadow Admins」這些帳戶通過直接ACL許可權分配獲得其許可權。這些帳戶可能比標準的「域管理員」用戶更隱蔽，因此它們並不安全並常常成為攻擊者的首要目標。

5. 在每個帳戶上，你可以雙擊查看其許可權拓撲圖。

6. 在一個幫助頁面中描述了不同的可濫用ACL許可權。點擊右上角的「問號」查看：

7. 更多有關Shadow Admins的內容，請參閱博文：https://www.cyberark.com/threat-research-blog/shadow-admins-stealthy-accounts-fear/

8. 如要手動檢查掃描結果，請解壓縮已保存的zip文件並檢查results文件夾：「[zip文件保存路徑]ACLight-masterResults」，包含摘要報告 -「特權帳戶 - Layers Analysis.txt」。

1. 
   

   在每個發現的特權帳戶上：

識別特權帳戶。

減少帳戶的不必要許可權。

確保帳戶安全。驗證這三個步驟後，你可以在小選擇框中用「V」標記該帳戶，並在界面上將其設置為綠色。

10. 我們的目標是讓所有的帳戶都被標記為安全的綠色。

B. Skeleton Key scan

1. 在掃描頁面中（單擊上一部分中的相關書籤），將顯示所有已掃描的DC列表。

2. 確保所有這些都被標為綠色。

3. 如果掃描發現潛在的受感染DC，啟動調查進程至關重要。

4.有關Skeleton Key惡意軟體的詳細信息，請參閱@PyroTek3的博文：https://adsecurity.org/?p=1255

C. SID History scan

1. 在該掃描頁面中，將有一個具有secondary SID（SID歷史記錄屬性）的域帳戶列表。
2. 每個帳戶都有兩個連接箭頭，左邊一個用於其主SID；另一個則用於其secondary SID（帶有面具圖標）。
3. 如果主SID具有特權，則它將為紅色，如果SID歷史記錄具有特權，則將顯示為紅色面具。
4. 你應該搜索可能存在風險的情況，例如帳戶具有非特權主SID，但同時具有特權secondary SID。這就需要注意了，你應該檢查該帳戶並調查它具有特權secondary SID的原因，以確保網路中的潛在入侵者沒有添加它。

*為了方便可視化，如果存在大量具有非特權SID歷史記錄的帳戶（超過十個），它們將會被從顯示中過濾掉，因為這些帳戶並不那麼敏感。

5. 如要手動檢查掃描結果，請解壓縮已保存的zip文件並檢查csv文件：」[zip文件保存路徑]SIDHistoryResultsReport.csv」。

6. 有關濫用SID History的更多信息，請參閱Ian Farr的博文：https://blogs.technet.microsoft.com/poshchap/2015/12/04/security-focus-sidhistory-sid-filtering-sanity-check-part-1-aka-post-100/

D. RiskySPNs scan

1. 在掃描結果頁面中，將顯示所有使用用戶帳戶註冊的SPN列表。

2. 如果用戶帳戶是特權帳戶，則該帳戶將顯示為紅色。

3. 擁有在特權帳戶下註冊的SPN是非常危險的。嘗試更改/禁用這些SPN。為SPN使用計算機帳戶或減少已向其註冊了SPN的用戶的不必要許可權。另外，建議為這些用戶分配強密碼，並實現每個密碼的自動輪換。

4. 如要手動檢查掃描結果，請解壓縮已保存的zip文件並檢查csv文件：」[zip文件保存路徑]RiskySPN-masterResultsRiskySPNs-test.csv」。

5. 有關SPN安全的更多信息，請參閱博文：https://www.cyberark.com/blog/service-accounts-weakest-link-chain/

E. Mystique scan

1. 掃描結果頁面包含受委派許可權信任的所有已發現帳戶的列表。

2. 有三種委派類型：無約束，約束和約束協議轉換。帳戶顏色對應於其委派許可權類型。

3. 禁用受委派許可權信任的舊帳戶和未使用帳戶。特別是檢查「無約束」和「約束協議轉換」的風險委派類型。將「無約束」委派轉換為「約束」委派，僅允許用於特定的所需服務。如果可能，必須重新驗證和禁用「協議轉換」類型的委派。

4. 如要手動檢查掃描結果，請解壓縮已保存的zip文件並檢查csv文件：」[zip文件保存路徑]Mystique-masterResultsdelegation_info.csv」。

5. 有關風險委派配置的更多信息，請參閱博文：

https://www.cyberark.com/threat-research-blog/weakness-within-kerberos-delegation/

*參考來源：GitHub，FB小編secist編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: