在 AD 域中横向移动：子域到父域的 SID 历史攻击

引言

在 Active Directory (AD) 环境中，企业管理员组 (Enterprise Admins) 拥有对域的完全控制权。获得此组的成员资格使攻击者能够执行广泛的特权操作，包括控制域控制器、创建新用户和组以及修改安全策略。

最近，攻击者利用了 SID 历史记录攻击来实现从子域到父域的横向移动，从而获得 Enterprise Admins 组的成员资格。本文将探讨这种攻击技术，分析其影响，并提供防御措施。

SID 历史记录攻击

SID 历史记录攻击涉及攻击者在子域中创建具有特定 SID（安全标识符）的用户或组。当用户或组从子域移动到父域时，其 SID 将添加到父域中用户的 SID 历史记录属性中。这使得攻击者可以通过访问 SID 历史记录属性并修改相关权限来提升其在父域中的权限。

攻击过程

SID 历史记录攻击的典型过程包括以下步骤：

1. 在子域中创建用户或组： 攻击者在子域中创建一个拥有高特权的 SID（例如，属于 Enterprise Admins 组）的用户或组。
2. 将用户或组移动到父域： 攻击者将创建的用户或组移动到父域。
3. 修改 SID 历史记录属性： 一旦用户或组位于父域中，攻击者就会修改其 SID 历史记录属性，将其原始高特权 SID 添加到该属性中。
4. 获得 Enterprise Admins 组成员资格： 通过修改 SID 历史记录属性，攻击者可以赋予自己对 Enterprise Admins 组的成员资格，从而获得父域的完全控制权。

影响

SID 历史记录攻击对组织的 AD 环境构成重大威胁。它使攻击者能够：

• 访问和控制域控制器
• 创建新用户和组
• 修改安全策略
• 窃取敏感数据
• 破坏业务运营

防御措施

为了防止 SID 历史记录攻击，组织可以采取以下防御措施：

• 禁用 SID 历史记录属性： 在域控制器上禁用 SID 历史记录属性可消除攻击者利用此攻击向量的可能性。
• 监视 SID 历史记录更改： 配置监视机制以检测对 SID 历史记录属性的任何未经授权的更改。
• 限制子域特权： 限制子域中管理员帐户的特权，以防止攻击者创建高特权用户或组。
• 定期审核 Active Directory： 定期审核 AD 环境以检测可疑活动，例如 SID 历史记录属性的更改。
• 实施多因素身份验证 (MFA)： 实施 MFA 以保护高特权帐户免遭未经授权的访问。