众所周知,Active Directory(AD)在大多数使用它的企业中都存放了所有帐号信息并用于域环境的管理与权限的管理。从2017年勒索软件开始被广泛所知晓后,根据有关机构的分析,95%的勒索事件中都包括了对AD域环境的攻击,拿到高级权限用户的帐号,从而达到攻击者的目标。Mimikatz是非常著名的用于获取AD中相关信息的工具,然而根据塞讯安全实验室的研究发现SHARPHOUND也逐渐在越来越多的攻击事件中被使用。
▌SHARPHOUND新变种简介
SHARPHOUND 是 BLOODHOUND Ingestor 的 C# 重写,攻击者利用 SHARPHOUND 工具收集有关目标 AD 的环境信息;从整个域中收集用户的会话信息,还包括组成员身份、本地管理员、ACL、远程桌面用户等;还可以枚举域之间的信任关系。可用于识别 AD中的不同攻击路径和权限提升路径。目前也已经有基于PowerShell 的变种。SHARPHOUND将最终收集的信息进行文件打包可通过C&C通道向外泄露。
▌模拟攻击库更新
您已经可以在我们平台中直接搜索SHARPHOUND即可得到所有与SHARPHOUND相关的攻击模拟实验,包括了此工具及其变种的网络下载,以及此工具在主机上的执行,以检验您的网络安全检测与防御手段和终端/主机防御手段对这此工具的及其变种以及它行为的检测与防御能力。降低这些工具被投放到环境中的机率,降低域控被攻击的机率从而提高在这些环节阻断黑客攻击的可能性。