Zubehör

Analysieren Sie den AD-Datenverkehr mit dem Lateral Movement Analyzer Tool (Beta)

Domänencontroller sind das Nervensystem Ihres Unternehmens. SilverfortMit dem Vulnerability Assessment Tool von können Sie alle DCs in Ihrer Domäne erkennen und feststellen, ob sie Schwachstellen aufweisen, die sie identitätsbasierten Angriffen aussetzen.
Werkzeug zur Analyse von Seitwärtsbewegungen – Archivkarte 842x626px
Laden Sie den WHS jetzt kostenlos herunter
Laden Sie den WHS jetzt kostenlos herunter

Diesen Beitrag teilen:

Beschreibung

Die Lateral Movement Analyzer-Tool (Beta) ermöglicht es Sicherheitsteams, in ihren Umgebungen nach aktiven lateralen Bewegungen zu suchen. Das Tool analysiert den AD-Verkehr offline und liefert verwertbare Ergebnisse zu den Konten, die mutmaßlich kompromittiert wurden, und den Maschinen, auf die diese Konten zugegriffen haben. Die routinemäßige Verwendung dieses Tools kann erheblich dazu beitragen, lateraler Bewegung ausnutzen in den frühesten Stadien und Ergreifen der erforderlichen Maßnahmen zum Entfernen bösartiger Elemente aus der Umgebung.

Details

Das Tool umfasst zwei Module: Sammler, die sich sammelt AD-Authentifizierung Protokolle aus der Umgebung und Analyzer, das diese Protokolle analysiert, um Authentifizierungsanomalien im Zusammenhang mit seitlichen Bewegungsmustern zu erkennen.

Sammler

Das Event Log Collector-Modul sammelt Authentifizierungsprotokolle auf folgende Weise:

  • NTLM Authentifizierungen: Durchsuchen der Domänencontroller nach dem Windows-Ereignis 8004.
  • Kerberos- Authentifizierung: Durchsuchen von Client-Rechnern auf das Windows-Ereignis 4648.

Anforderungen:

  • Domänenadministratorrechte.
  • LDAP/S- und RPC-Zugriff auf DC und Client.
  • Windows-Computer mit Python 3.8 oder höher.

Ausgabe: CSV-Datei mit den folgenden Feldern: Quellhost, Ziel, Benutzername, Authentifizierungstyp, SPN und Zeitstempel im Format %Y/%M/%D %H:%M

Analyzer

Der Analysator arbeitet mit den vom Collector bereitgestellten Daten und sucht anhand der folgenden Methoden nach seitlichen Bewegungsmustern:

  • Lateral Movement Analyzer (LATMA)-Algorithmus: Erweiterung des Hopper-Algorithmus zur Erkennung anomaler Benutzerauthentifizierungen.
  • Lateral Movement IoCs: Mit den von LATMA bereitgestellten anomalen Authentifizierungen sucht der Analysator nach Authentifizierungssequenzen und -mustern, die darauf hindeuten, dass eine aktive Lateralbewegung stattfindet.

Anforderungen:

  • Der Analysator kann sowohl von Windows- als auch von Linux-Rechnern ausgeführt werden.

Ausgang:

  • Textdatei mit einer Liste kompromittierter Benutzerkonten und Maschinen sowie eine wörtliche Beschreibung des mutmaßlichen Angriffs.
  • GIF-Datei mit vollständiger Visualisierung des mutmaßlichen Angriffsflusses.

Die Beta Version steht unten zum Download bereit.

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfordern