在 Windows AD 域中驻留 ACL 后门：持久控制的终极指南

使用 ACL 后门维持对 Windows AD 域的持久控制

什么是 ACL 后门？

在网络安全中，持久控制是指攻击者在成功渗透目标网络后长期保持对该网络访问的能力。后门是一种恶意软件，允许攻击者在域控制器的权限撤销后仍能远程访问受感染系统并执行命令。

ACL 后门的原理

访问控制列表 (ACL) 是一种安全特性，用于控制 Windows 对象（如文件、文件夹或注册表项）上的访问权限。ACL 包含一组访问控制项 (ACE)，每个 ACE 指定一个主体（例如用户、组或服务帐户）以及该主体对该对象的权限。

ACL 后门利用 ACL 的强大功能来授予攻击者对关键资源的持久访问权限。通过修改对象 ACL 并向自己的用户帐户或其他受损帐户授予完全控制权，攻击者可以在域控制器权限撤销后继续访问和控制这些资源。

驻留 ACL 后门的步骤

驻留 ACL 后门的步骤通常包括：

1. 识别目标对象： 确定要授予后门访问权限的关键对象，例如域控制器的 C:\Windows\NTDS 目录或域 DNS 服务器上的 zone 文件。
2. 获取原始 ACL： 使用 icacls 或 Get-Acl 命令获取目标对象的原始 ACL。
3. 添加后门 ACE： 将 ACE 添加到原始 ACL，向攻击者的用户帐户或其他受损帐户授予完全控制权限。
4. 设置 ACL： 使用 icacls 或 Set-Acl 命令将修改后的 ACL 设置回目标对象。
5. 测试后门： 通过尝试访问目标对象来验证后门是否成功驻留。

技术示例

假设我们希望在域控制器 DC1 上驻留一个 ACL 后门，以访问 C:\Windows\NTDS 目录。以下步骤概述了该过程：

> icacls C:\Windows\NTDS /save acl.txt
> icacls C:\Windows\NTDS /grant "attacker@example.com":F
> icacls C:\Windows\NTDS /restore acl.txt

这将获取 C:\Windows\NTDS 目录的原始 ACL，向 attacker@example.com 用户帐户授予完全控制权限，然后将修改后的 ACL 设置回目录。

最佳实践

为了确保 ACL 后门的持久性和有效性，请遵循以下最佳实践：

• 使用受损或未监控的帐户： 向攻击者的用户帐户或其他受损帐户授予后门访问权限，以避免检测。
• 隐藏后门 ACE： 使用继承和覆盖 ACL 以隐藏后门 ACE，使其不易被发现。
• 使用特殊权限： 授予后门 ACE 特殊权限，例如 SeBackupPrivilege 或 SeSecurityPrivilege，以扩大后门的攻击范围。
• 定期维护后门： 监视后门并根据需要进行更新，以避免检测和删除。

结论

ACL 后门是持久控制 Windows AD 域的有效且隐蔽的方法。通过遵循本文概述的步骤和最佳实践，安全专业人员和系统管理员可以保护其网络免受这种威胁，同时安全研究人员和渗透测试人员可以增强其攻击技术。通过不断了解后门技术并采取适当的对策，我们可以确保网络安全并维护数据完整性。

常见问题解答

1. ACL 后门是如何被发现的？

ACL 后门可以通过安全审核、日志分析和主动检测工具来发现。

2. 如何删除 ACL 后门？

可以通过使用 icacls 或 Set-Acl 命令从目标对象中删除后门 ACE 来删除 ACL 后门。

3. 为什么 ACL 后门如此危险？

ACL 后门危险，因为它允许攻击者在失去对域控制器的直接访问权限后仍能控制网络。

4. 如何防止 ACL 后门？

可以通过实施严格的访问控制措施、定期审查 ACL 和使用入侵检测/预防系统来防止 ACL 后门。

5. 哪些工具可以用于驻留 ACL 后门？

有多种工具可以用于驻留 ACL 后门，例如 Mimikatz、PowerSploit 和 Empire。