2019年10月26日,由360信息安全中心0kee Team 自主開發的域安全入侵感知系統——360WatchAD正式對外開源,成為國內域安全檢測領域的開拓者。
什麼是360WatchAD?
360WatchAD是360公司在面臨高級域滲透活動的威脅下,研發出的一款威脅檢測產品。適用於基於Windows域構建的企業內網。通過對域控伺服器數據的即時分析,360WatchAD能夠及時準確發現高級域滲透活動,檢測覆蓋內網攻擊殺傷鏈大部分手法。
本產品作為內部安全防線的最後關鍵一環,可讓企業具備針對公司級別高級域滲透活動的感知與預警能力,加固基於windows域的辦公網安全。
工作原理
WatchAD收集所有域控上的事件日誌和kerberos流量,通過特徵匹配、Kerberos協議分析、歷史行為、敏感操作和蜜罐賬戶等方式來檢測各種已知與未知威脅,威脅檢測項覆蓋了目前大部分常見的內網域滲透手法。
檢測功能
信息探測:使用SAMR查詢敏感用戶組、使用SAMR查詢敏感用戶、蜜罐賬戶的活動、PsLoggedOn信息收集
憑證盜取:Kerberoasting(流量)、AS-REP Roasting、遠程Dump域控密碼
橫向移動:賬戶爆破、顯式憑據遠程登錄、目標域控的遠程代碼執行、未知文件共享名、Kerberos票據加密方式降級(流量)、異常的Kerberos票據請求(流量)
許可權提升:ACL修改、MS17-010攻擊檢測、新增組策略監控、NTLM 中繼檢測、基於資源的約束委派許可權授予檢測、攻擊印表機服務 SpoolSample、未知許可權提升、MS14-068攻擊檢測(流量)、Kerberos約束委派濫用(流量)
許可權維持:AdminSDHolder對象修改、DCShadow攻擊檢測、DSRM密碼重置、組策略委派許可權授予檢測、Kerberos約束委派許可權授予檢測、敏感用戶組修改、域控新增系統服務、域控新增計劃任務、SIDHistory屬性修改、萬能鑰匙-主動檢測、萬能鑰匙-被動檢測(流量)、黃金票據(流量)
防禦繞過:事件日誌清空、事件日誌服務被關閉
核心優勢
1. 檢測覆蓋廣,準確度高
360WatchAD檢測的維度覆蓋了整個內網攻擊殺傷鏈的大部分常見攻擊手法。從橫向移動到許可權提升,從憑證竊取到后滲透許可權維持,我們監控了高級域滲透活動的完整過程;並且可從多個維度的數據進行關鍵點分析,確保攻擊者無法繞過我們的檢測。360WatchAD最後生成的高質量告警內容,每一條都對應不同程度威脅,方便運營人員及時處理。
2. 兼容性好,輕量化部署
360WatchAD僅在所有域控伺服器上安裝數據收集終端,對整個辦公網域環境和網路環境沒有任何影響,不改變現有網路架構,不做任何侵入式部署,收集終端對域控伺服器的負載控制在極低的範圍內。360WatchAD兼容從Windows 2008之後的所有版本伺服器,部署要求極其簡單,只需在域控安裝agent,連通域控所在網路,配置安裝檢測引擎即可。
應用場景
1.抵禦高級域滲透威脅
【問題】:沒有產品監控內網高級域滲透活動。
企業不是沒有被入侵,而是不知道已經被入侵到了內網。用戶數據是否遭到竊取?高級管理人員域賬號是否被黑客控制?機密郵件和公司戰略是否泄露?內網安全的重要性遠大於邊界業務安全。業務遭到入侵影響範圍是幾台伺服器,而內網被入侵影響範圍是整個公司。
【解決】:360WatchAD可以全方位監控內網的域滲透活動,告警通過時間線詳細展示了攻擊者的具體活動,既可以及時發現入侵,也可以評估內網被入侵的程度,如是否已攻入域控,是否獲取高級管理人員賬戶,具體入侵了哪些計算機等。
2. 攻防演習
【問題】:攻防演習中,內網關鍵設施是最終目標。
攻擊者一旦攻入內網,邊界防禦設備不再有效,目前國內沒有產品能夠有效阻止和檢測內網的域滲透活動。內網伺服器被入侵后,只能通過分析日誌來嘗試還原攻擊手段,費時費力且沒有效果。
【解決】:360WatchAD除了能有效監控內網域滲透活動,還可以靈活自定義分析域控日誌,記錄所有用戶的行為,展現某用戶的完整活動記錄。我們的檢測維度覆蓋已知的絕大部分關鍵攻擊手法,在攻防演習時,除了能及時檢測攻擊活動,還能有效還原攻擊路徑,展示攻擊手法詳情,提供應對建議,幫助防守方佔領先機。
開源共建
GitHub:
https://github.com/0Kee-Team/WatchAD
如果您有認為需要加入到WatchAD檢測的攻擊方法,請提issue告訴我們相關復現方式,或者提交PR,成為本項目的貢獻者。
如果您發現某個檢測模塊有較多的誤報(日均超過10條),請提issue告訴我們,或由你優化之後提交PR,成為本項目的貢獻者。
[admin
]