10 种最常见的 Active Directory （AD） 攻击

Active Directory（AD）作为大多数组织的信息管理中枢，在身份验证与访问控制中发挥着至关重要的作用。这也使其成为网络犯罪分子觊觎的目标，他们不断寻找漏洞以窃取关键数据。为了有效防御AD环境遭受攻击，了解常见的攻击手段以及制定全面的防护策略至关重要。本文将带你了解十大常见AD攻击类型，并介绍如何快速检测和防护。

一、基于密码的攻击

大多数AD系统依赖密码作为第一道安全防线。然而，弱密码或易猜密码极易被攻击者利用。因此，攻击者往往通过暴力破解和密码喷洒等方式寻找突破口。
暴力破解攻击
暴力破解攻击是最常见的密码攻击手段之一，攻击者通过自动化工具系统性地尝试各种密码组合，大大缩短破解时间，快速攻破账户。
如何检测暴力破解攻击
监测单个账户或IP地址频繁的登录失败尝试，并关注异常的登录行为模式。

密码喷洒攻击
与暴力破解不同，密码喷洒攻击更加隐蔽。攻击者会针对大量账户尝试使用一个常见的弱密码（如“Password123”），以避免触发账户锁定机制，从而降低被发现的风险。
如何检测密码喷洒攻击
观察同一来源在多个账户上发生的登录失败事件，这是密码喷洒攻击的重要迹象。
防护建议
在组织内部统一推行强密码策略和账户锁定策略，并加强用户安全意识教育，普及密码管理最佳实践。

二、基于NTLM认证的攻击

新技术局域网管理器（NTLM）协议通过密码哈希验证身份。尽管提供了基本安全性，但仍容易被攻击者利用，如哈希传递（Pass-the-Hash）攻击和NTLM中继（NTLM Relay）攻击。

哈希传递（Pass-the-Hash）攻击

攻击者窃取账户密码的哈希值，并将其作为凭证直接进行身份认证，无需知道明文密码。由于NTLM不验证哈希来源，攻击者可以轻松绕过传统身份验证机制，伪装成合法用户进行横向移动。

如何检测哈希传递攻击

关注异常用户行为，如非工作时间、异常地理位置或设备发起的登录尝试，以及认证请求数量激增的情况。

NTLM中继（NTLM Relay）攻击

在中继攻击中，攻击者截获并转发合法的认证请求及响应，从而绕过认证过程访问AD资源，无需破解密码或哈希。

如何检测NTLM中继攻击

监控来自异常设备或IP地址的认证请求，并及时识别随后的异常服务活动。

防护建议

尽量减少NTLM协议的使用，优先采用Kerberos认证；对于无法避免NTLM的场景，应强化审计，并结合用户行为分析及时识别异常。

三、基于Kerberos认证的攻击

Kerberos作为Windows默认的认证协议，虽然较NTLM更安全，但仍存在被攻击的风险，典型攻击包括Kerberoasting、银票（Silver Ticket）攻击和金票（Golden Ticket）攻击。
Kerberoasting攻击
攻击者请求服务账户的Kerberos票据，从中提取加密的密码哈希并进行离线破解。一旦成功，即可接管服务账户，进而实现权限提升和横向渗透。
如何检测Kerberoasting攻击
持续监控事件ID 4769（Kerberos认证事件），若票据加密类型字段为0x17，需警惕可能存在的Kerberoasting行为。
银票（Silver Ticket）攻击
攻击者利用服务账户的NTLM哈希伪造Kerberos服务票据（银票），无需与域控制器交互即可访问目标服务，极具隐蔽性。
如何检测银票攻击
结合服务账户活动日志和Kerberos日志，识别不一致或异常操作。
金票（Golden Ticket）攻击
攻击者一旦掌握krbtgt账户的哈希，即可伪造合法的Kerberos票据（黄金票），实现对域内任何账户（包括管理员账户）的完全控制，且其影响可能持续存在，即使重置用户密码亦难以彻底清除。
如何检测金票攻击
关注异常持久时间较长的Kerberos票据活动，并调查异常访问行为。
防护建议
服务账户应使用超过20位的复杂密码并定期更换；定期双重重置krbtgt账户密码；启用Kerberos详细日志并持续监控异常事件。

四、基于复制机制的攻击

AD复制过程用于在各域控制器间同步目录数据，这一核心机制一旦被滥用，将导致严重信息泄露或权限篡改。典型攻击包括DCSync和DCShadow。
DCSync攻击
攻击者伪装成域控制器，向合法DC请求复制敏感数据（如管理员账户哈希），为进一步的权限提升或伪造黄金票铺平道路。
如何检测DCSync攻击
监控事件ID 4928和4929，及时发现来源异常的复制请求。
DCShadow攻击
攻击者注册恶意域控制器，伪装正常复制活动，将恶意修改同步至AD。由于操作流程符合正常机制，传统监控很难识别。
如何检测DCShadow攻击
审计事件ID 4672和5136，关注关键对象的未授权变更，以及复制拓扑的异常调整。
防护建议
严格控制复制权限，仅赋予必要账户；同时，实时监控AD复制行为，快速识别潜在威胁。

五、勒索软件攻击

勒索软件通过加密关键数据勒索赎金，常以暴力破解、网络钓鱼或社会工程攻击为入口。一旦入侵，恶意程序将在网络中快速扩散，加密大量文件，导致业务中断和数据丧失。
如何检测勒索软件攻击
警惕文件批量重命名、删除、可疑进程激增等异常活动，这些通常是勒索软件爆发的前兆。
防护建议
持续审计AD及文件服务器的变更操作，及时发现异常行为；同时加强员工安全意识培训，防范社会工程攻击，并推行强密码和多因素认证措施。

六、ADAudit Plus如何助力AD攻击检测与防御

ManageEngine 卓豪ADAudit Plus 是一款AD及文件服务器审计系统，能提取分析 Windows 安全日志，审计 AD 操作，生成详尽报表，满足内外部审计需求 。

ADAudit Plus的攻击面分析器功能为本地、云端及混合AD环境提供潜在威胁和配置缺陷的全面洞察。除直观的威胁监控仪表板外，还提供针对25+种常见AD攻击（如暴力破解、哈希传递、Kerberoasting和DCSync攻击）的专属检测报表，帮助你及时发现异常，构筑坚固的AD安全防线。