• 内网域安全入侵感知系统watchAD


    一、前言介绍

        WatchAD收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余,发现多起威胁活动,取得了较好的效果。现决定开源系统中基于事件日志的检测部分。

    目前支持的具体检测功能如下:

    • 信息探测:使用SAMR查询敏感用户组、使用SAMR查询敏感用户、蜜罐账户的活动、PsLoggedOn信息收集
    • 凭证盗取:Kerberoasting (流量)、AS-REP Roasting、远程Dump域控密码
    • 横向移动:账户爆破、显式凭据远程登录、目标域控的远程代码执行、未知文件共享名、Kerberos票据加密方式降级(流量)、异常的Kerberos票据请求(流量)
    • 权限提升:ACL修改、MS17-010攻击检测、新增组策略监控、NTLM 中继检测、基于资源的约束委派权限授予检测、攻击打印机服务 SpoolSample、未知权限提升、MS14-068攻击检测(流量)、Kerberos约束委派滥用(流量)
    • 权限维持:AdminSDHolder对象修改、DCShadow攻击检测、DSRM密码重置、组策略委派权限授予检测、Kerberos约束委派权限授予检测、敏感用户组修改、域控新增系统服务、域控新增计划任务、SIDHistory属性修改、万能钥匙-主动检测、万能钥匙-被动检测(流量)、黄金票据(流量)
    • 防御绕过:事件日志清空、事件日志服务被关闭

    项目架构简图:

     

    二、部署服务器端watachAD

    本次在测试环境中部署,准备了一台centos7 部署服务器端watchAD,另一台centos7部署前端watchAD-web。
    1.更新centos7系统(前提已添加yum源,国内建议用阿里云源)
    [root@guest yum.repos.d]# yum -y update
    2.安装net-tools网络工具
    [root@guest yum.repos.d]# yum install net-tools
    3.安装git命令工具
    [root@guest opt]# yum install git -y
    4.从github下载watachAD服务器端源码
    [root@guest opt]# git clone https://github.com/0Kee-Team/WatchAD.git
    5.进入WatchAD目录
    [root@guest opt]# cd WatchAD/
    6.由于该项目需要python3环境运行,需要安装python3以及pip3
    [root@guest WatchAD]# yum install -y python36  #安装python3.6
    [root@guest WatchAD]# yum -y install epel-release  #添加源

    [root@guest WatchAD]# yum install -y python36-setuptools  #安装python tools插件

    [root@guest WatchAD]# yum install -y python36-pip  #安装pip3

    8.安装项目所需要的python包
    [root@guest WatchAD]# pip3 install -r requirements.txt  
    9.安装docker
    [root@guest WatchAD]# yum -y install docker     #使用yum安装dokcer
    systemctl start docker.service  #启动dokcer
    systemctl enable docker.service  #设置为开机自启动
    10.安装docker-compose
     [root@guest WatchAD]# curl -L "https://github.com/docker/compose/releases/download/1.23.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose       # 下载docker-compose
     [root@guest WatchAD]#chmod +x /usr/local/bin/docker-compose    # 添加可执行权限 
     [root@guest WatchAD]#docker-compose --versio                # 查看docker-compose版本
    11.本地单机一建安全watchAD测试环境
    WatchAD需要的数据存储依赖较多,这里推荐使用项目中已经配置好的Docker一键启动脚本.(测试环境可以使用dokcer一建安装,正式环境需要每台服务单独安装)
    [root@guest WatchAD]#docker-compose up                   
    #将在本地启动 rabbitmq、logstash、elasticsearch、redis、mongo服务,测试环境最好修改下dokcer-comse的docker-compose.yaml配置文件中所涉及到默认的用户名和密码
    #生产环境部署:WatchAD依赖了rabbitmq、logstash、elasticsearch、redis和mongo,如果你想使用现有的存储服务和MQ等,请直接修改 {project_home}/settings/database_config.py 配置信息,数据管道Logstash的配置可参考 {project_home}/settings/logstash/logstash.conf ,实际的配置需要根据你的架构环境更改。
    注意:
    1.执行以上操作时,需要先打开一命令窗口,运行docker-compose up,把基础数据库环境运行起来,好观察输入日志。如果后期服务稳定了,可以执行docker-compose up -d后台运行。
    2.使用docker启动的环境只能用于临时测试,单机可能无法承担较大的数据量。如果需要线上部署,请修改配置{project_home}/settings/database_config.py将各个服务地址替换为你的实际内网服务地址。

    三、部署客服端watchAD agnet

    1.客服端开启策略审核(域控制器上配置)
    我们的分析基础是所有域控的所有事件日志,所以首先需要打开域控上的安全审核选项,让域控记录所有类型的事件日志。这里以 windows server 2008为例,在 本地安全策略 -> 安全设置 -> 本地策略 -> 审核策略,打开所有审核选项:
    2.安装agnet  winlogbeat
    首先,打开我们提供的配置文件 {project_home}/settings/winlogbeat/winlogbeat.yml ,修改output.logstash  hosts字段值为你所安装的LogstashIP和端口(默认5044)
    [root@guest winlogbeat]# vi  /opt/WatchAD/settings/winlogbeat/winlogbeat.yml   #修改hosts字段中的ip地址
    winlogbeat.event_logs:
      - name: Security
      ignore_older: 1h
    
    output.logstash:
      hosts: ["本地IP地址:5044"]

    3.安装和配置winlogbeat(在域控主机上安装)

    前往下载对应版本的winlogbeat,建议版本为6.2,其它版本的字段可能有变动,存在不兼容的可能性。WatchAD要求下载6.2版本,其下载地址为:https://artifacts.elastic.co/downloads/beats/winlogbeat/winlogbeat-6.2.0-windows-x86_64.zip

    解压之后,使用刚才修改的配置文件 winlogbeat.yml 替换掉原本默认的配置文件 winlogbeat.yml.

    接下来按照官网的教程正常安装即可(https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html)。

        (1).把下载的winlogbeat 6.2压缩包,解压到中C:Program Files

        (2).将winlogbeat-<version>目录重命名为Winlogbeat

        (3).打开安装目录下Winlogbeat目录下的winlogbeat.yml文件,把内容都删除了,然后复制测试服务器上项目watchAD下winlogbat.yml文件覆盖该文件目录下。

        (4).以管理员身份打开PowerShell提示符(右键单击PowerShell图标,然后选择“以管理员身份运行”)
        (5).在PowerShell提示符下,运行以下命令以安装服务
       PS C:UsersAdministrator> cd  "C:Program FilesWinlogbeat"
       PS C:Program FilesWinlogbeat> .install-service-winlogbeat.ps1


      (6).如果在系统上禁用了脚本执行,则需要为当前会话设置执行策略以允许脚本运行。例如:
     
       set-executionpolicy remotesigned   
     
    注意:事件日志并不会在各个域控之间同步,所以我们必须收集所有域控的所有事件日志,否则会产生误报和漏报。

    四、初始化watchAD引擎

    1.wachchAD的帮助命令:

    Usage:  WatchAD.py <options> [settings]
    
    Options:
      -h, --help            显示帮助信息
      --install             执行WatchAD初始化安装,在次之前请确保已完整环境安装和配置。
      -d DOMAIN, --domain=DOMAIN
                            A FQDN domain name of detection.AD服务器的域名
      -s SERVER, --ldap-server=SERVER
                            Server address for LDAP search. e.g: dc01.corp.com,服务器地址,如果域名解析了,可以域名,其实就是AD的全称主机名
      -u USERNAME, --domain-user=USERNAME
                            Username for LDAP search. e.g: CORPpeter,连接AD的账户,格式:域名\账户或者 域名账号 
      -p PASSWORD, --domain-passwd=PASSWORD   
                            Password for LDAP search.管理员密码
      --check               检查各个数据库连接状态、消息队列状态
      --start               启动检测引擎
      --restart             重启检测引擎
      --stop                停止引擎 (删除现有消息队列,防止数据量过大造成积压)
      --status              查看当前引擎状态

    2.进行初始化安装

    python3 WatchAD.py --install -d bks.com  -s dc.bks.com  -u bksadministrator  -p *********
    正常初始化安装成功WatchAD,需要满足以下要求:
     (1).所有存储相关的依赖都正确安装和配置
     (2).能够访问安装时指定的LDAP Server
     (3).supervisor正确安装可使用
     (4).正确安装python3.6,且存在 /usr/bin/python3 软连接
    3.启动watchAD
    python3 WatchAD.py --start
    完成之后,会使用supervisorpython进程进行托管,WatchAD的命令行只是对supervisor的命令进行了一个简单封装,引擎的启动关闭本质上是supervisor任务的启动关闭。

    五、部署Web监控端服务WatchAD-web

    1.下载WatchAD-Web源码

    [root@guest opt]# git clone https://github.com/0Kee-Team/WatchAD-Web.git

    2.修改配置

    修改连接数据库的配置:修改 WatchAD-web/Server/config/database_config.py文件中的数据库配置与WatchAD一致;

    修改前端页面配置:把WatchAD-Web/frontend/.env.production`和`WatchAD-Web/frontend/.env.development此文件中的127.0.0.1改为WatchAD-Web所在服务器的IP。我的WatchAD和WatchAD-Web搭建在一个服务器了,所以IP一样。


    3.进行编译

    进到下载WatchAD-Web目录,执行:docker-compose build,如果上一步的配置有修改或者代码有变动,需要重新执行此命令,下一步的docker-compose up才会对其修改生效

    4.进行安装 
    执行命令:
    docker-compose up -d
    启动后,就可以访问WatchAD-Web前端页面了,地址:http://服务器ip/activity_timeline.html

    六、自定义修改

    1.项目结构说明
    WatchAD  		    根目录
    ├─libs                      引用的部分外部库
    ├─models                    封装的数据对象
    ├─modules                   主模块目录
    │  ├─alert        	    告警处理的相关代码
    │  ├─detect        	    威胁检测代码
    │  │  ├─event_log           基于事件日志的检测代码
    │  │  │  ├─ ... ...         分类的检测代码
    │  │  │  └─record           用于记录域内实体的各种活动,不告警
    │  │  └─traffic_kerberos    基于kerberos流量的检测代码(本次不开源,移除)
    │  └─record_handle          分析时用到的其它信息操作文件
    ├─scripts                   安装、定时任务等用到的脚本
    ├─settings                  各种配置文件,获取配置信息的操作文件
    ├─tools                     工具函数
    ├─start.py                  检测引擎启动入口代码
    ├─WatchAD.py                项目主程序入口代码,可进行安装、启动、停止等操作
    └─supervisor.conf           supervisor的配置文件,WatchAD使用它托管进程
    2.自定义开发检测模块

    WatchAD支持自定义编写添加检测模块,下面用 敏感用户组修改 作为示例来讲解如何编写自定义模块。

    (1).新建文件

    在目录 {project_home}/modules/detect/event_log下,按照威胁分类为了六个目录,record目录是用于记录域内实体的相关活动,和告警无关,暂时不用关注。

    我们根据当前威胁类别,敏感用户组修改一般用于权限维持添加控制的账户,所以我们在 {project_home}/modules/detect/event_log/persistence目录下新建文件 ModifySensitiveGroup.py。

    (2). 创建检测类

    新建了文件之后,首先我们定义一下当前模块需要分析的事件日志ID列表、威胁类别代号、标题  简要描述模板。通过测试环境本地复现以及查阅相关文档 ,我们知道往安全组中添加用户会触发 4728、4732、4756三种事件,分别对应不同的范围。威胁类别代号和现有的不重复,且按照分类来定义,比如权限维持是以5开头。简要描述模板用于大致说明威胁活动的情况,其中用[]包裹起来的字段名对应后面的告警内容字段,在Web平台显示时会自动替换。

    EVENT_ID = [4728, 4732, 4756]
    
    ALERT_CODE = "506"
    TITLE = "Modification of sensitive groups"
    DESC_TEMPLATE = "来自于 [source_ip]([source_workstation]) 使用身份 [source_user_name] 将目标用户 [target_user_name] 添加到了敏感组 [group_name] 中。"

    接下来引入DetectBase类,并创建一个和文件名相同的类,继承DetectBase,实现 _generate_alert_doc  _get_level 方法。

    from settings.config import main_config
    from models.Log import Log
    from modules.detect.DetectBase import DetectBase, HIGH_LEVEL
    from tools.common.common import get_cn_from_dn
    
    EVENT_ID = [4728, 4732, 4756]
    
    ALERT_CODE = "506"
    TITLE = "Modification of sensitive groups"
    DESC_TEMPLATE = "来自于 [source_ip]([source_workstation]) 使用身份 [source_user_name] 将目标用户 [target_user_name] 添加到了敏感组 [group_name] 中。"
    
    
    class ModifySensitiveGroup(DetectBase):
        def __init__(self):
            super().__init__(code=ALERT_CODE, title=TITLE, desc=DESC_TEMPLATE)
    
        def run(self, log: Log):
            # 初始化检测模块,必需
            self.init(log=log)
    
            group_name = log.target_info.user_name
            
            # 动态配置的敏感组列表
            sensitive_groups = list(map(lambda x: x["name"], main_config.sensitive_groups))
            # 如果修改的组存在于敏感组中,则告警
            if group_name in sensitive_groups:
                return self._generate_alert_doc()
    
        def _generate_alert_doc(self, **kwargs) -> dict:
            # 通过登录名和登录ID查找登录时的IP
            source_ip = self._get_source_ip_by_logon_id(self.log.subject_info.logon_id,
                                                        self.log.subject_info.full_user_name)
            form_data = {
                # 建议必填字段内容
                "source_ip": source_ip,
                "source_workstation": self._get_workstation_by_source_ip(source_ip),
                "source_user_name": self.log.subject_info.user_name,
                "group_name": self.log.target_info.user_name,
                "target_user_name": get_cn_from_dn(self.log.event_data["MemberName"]),
                # 以下字段内容可选
                ... ...
            }
            doc = self._get_base_doc(
                level=self._get_level(),
                # 根据威胁活动代号和来源用户名唯一确定一个告警
                unique_id=self._get_unique_id(self.code, self.log.subject_info.user_name),
                form_data=form_data
            )
            return doc
    
        def _get_level(self) -> str:
            # 返回危害等级高
            return HIGH_LEVE

    简单解释一下上面的代码:

    • models.Log :这是引擎简单封装的日志对象,将字典对象变成对象属性来访问,减少拼写错误,具体可查看Log类的代码内容。
    • _get_level:顾名思义是返回当前威胁活动的危害等级,_generate_alert_doc 是返回告警内容的文档。
    • _generate_alert_doc的内容比较固定:
      • form_data :用于自定义保存当前威胁活动的相关信息,比如 来源IP(source_ip),来源主机名(source_workstation),来源用户名(source_user_name),目标用户名(target_user_name)等等,根据每种威胁活动会有区别,但表达相同含义的字段名必须一致,比如你不能填来源用户名的字段名为:source_user。但有一些内容是必填的,可以通过以下思路去决定填写哪些字段:”哪个来源IP和主机,谁,做了什么,目标是谁。“,具体可参考其它检测模块的写法。
      • unique_id: 用于合并重复的告警,一般是威胁活动代号 + 来源用户名或来源IP
      • level: 危害等级
    • run: 运行的主入口,参数log是当前需要分析日志,因为我们指定了 4728, 4732, 4756三种日志,所以这里出现的日志也只会有这三种类型。
      • self.init(log=log):这行代码必须在该函数最开始的地方,用于初始化当前的检测模块环境,每一个新的日志,都会重新运行一遍run函数。
      • 返回值:如果没有任何异常,返回空即可。如果发现了威胁,返回 self._generate_alert_doc()告警文档,引擎会自动执行接下来的入库合并等操作。
     
  • 相关阅读:
    Windows快捷键使用技巧
    windows 开机启动设置快捷方式
    MySQL如何下载win32的库文件
    C/C++ MySQL API调用
    mysql_error list
    SSL/TLS数字证书各种格式解释
    linux常用命令(持续更新)
    【原创】Huatuo热更框架之手把手部署
    【Linux】使用Google Authenticator 实现ssh登录双因素认证
    如何查看debian dpkg包 的内容?
  • 原文地址:https://www.cnblogs.com/backlion/p/13023599.html
Copyright © 2020-2023  润新知