狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用

這篇文章跟大家分析一下“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”。內(nèi)容詳細(xì)易懂，對(duì)“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”感興趣的朋友可以跟著小編的思路慢慢深入來(lái)閱讀一下，希望閱讀后能夠?qū)Υ蠹矣兴鶐椭?。下面跟著小編一起深入學(xué)習(xí)“狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用”的知識(shí)吧。

讓客戶(hù)滿(mǎn)意是我們工作的目標(biāo)，不斷超越客戶(hù)的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶(hù)，將通過(guò)不懈努力成為客戶(hù)在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：空間域名、雅安服務(wù)器托管、營(yíng)銷(xiāo)軟件、網(wǎng)站建設(shè)、昌邑網(wǎng)站維護(hù)、網(wǎng)站推廣。

Goddi

Goddi 是 NetSPI 使用 Go 語(yǔ)言編寫(xiě)的工具，該工具有助于收集 Active Directory 域信息，被認(rèn)為是 BloodHound、ADInfo、PowerSploit 和 windapsearch 等其他幾種常見(jiàn)工具的替代方案。

Goddi 依賴(lài)對(duì)域控進(jìn)行一系列自定義的 LDAP 查詢(xún)來(lái)獲取信息。此外，還支持通過(guò) TCP/389 上的 StartTLS 與域控加密通信。Goodi 可檢索以下類(lèi)型的信息：

域用戶(hù)

特權(quán)用戶(hù)組的用戶(hù)

密碼未設(shè)置過(guò)期的用戶(hù)

被鎖定或禁用的用戶(hù)

密碼超過(guò) 45 天的用戶(hù)

域計(jì)算機(jī)

域控

可信域關(guān)系

SPN

域組

域組織單位

域賬戶(hù)策略

域委派用戶(hù)

域組策略對(duì)象（GPO）

技術(shù)分析

默認(rèn)情況下，Windows 域控都支持基本的 LDAP 操作。只要有一個(gè)有效的域賬戶(hù)，即可通過(guò) TCP/389 執(zhí)行 LDAP 查詢(xún)進(jìn)行枚舉。

Goddi 非常簡(jiǎn)單易用，下圖展示了如何進(jìn)行枚舉嘗試：

那么，在網(wǎng)絡(luò)流量中的情況呢？捕獲網(wǎng)絡(luò)流量，可以看到 Goddi 使用的是 LDAP 查詢(xún)。通常來(lái)說(shuō)，我們會(huì)看到許多 LDAP searchRequest 消息，包括基于要查詢(xún)的數(shù)據(jù)類(lèi)型的特定協(xié)議數(shù)據(jù)單元（PDU）。

例如，枚舉域中的計(jì)算機(jī)列表，并提取每個(gè)計(jì)算機(jī)的一些屬性，如下所示：

在 Wireshark 中解析流量，顯示了 LDAP 的 filter 和 attributes：

如果使用 tshark 的話(huà)，也很方便。例如，用 tshark 提取發(fā)給域控查詢(xún)的 LDAP searchRequest 請(qǐng)求。

檢測(cè)模型

在流量中解析 LDAP 查詢(xún)，并提供抽象層來(lái)獲取記錄類(lèi)型。在 AWAKE 中發(fā)現(xiàn)此類(lèi)偵察行為（MITRE ATT&CK ID：T1087、T1018、T1082、T1016、T1033）時(shí)，如下所示：

可視化明顯地看出源 Windows 設(shè)備試圖查詢(xún)目標(biāo)計(jì)算機(jī)的操作系統(tǒng)和工作站列表。

建議

由于偵察行為的普遍性，檢測(cè)偵察行為非常棘手。團(tuán)隊(duì)可以花費(fèi)時(shí)間對(duì)偵察活動(dòng)和正常域活動(dòng)進(jìn)行分類(lèi)，比如基于頻率、時(shí)間范圍、發(fā)出請(qǐng)求的實(shí)體以及來(lái)自該實(shí)體的其他可疑行為。

從防御的角度看，建議收緊域控的 ACL 和權(quán)限。不幸的是，很多合法工具和服務(wù)也依賴(lài)于此。

關(guān)于狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用就分享到這里啦，希望上述內(nèi)容能夠讓大家有所提升。如果想要學(xué)習(xí)更多知識(shí)，請(qǐng)大家多多留意小編的更新。謝謝大家關(guān)注一下創(chuàng)新互聯(lián)網(wǎng)站！

文章題目：狩獵內(nèi)網(wǎng)信息偵察工具Goddi怎么用
網(wǎng)頁(yè)鏈接：http://m.jiaotiyi.com/article/ghiicj.html