Suche

Sprache

Analysieren Sie den AD-Datenverkehr mit dem Lateral Movement Analyzer Tool (Beta)

Tools

Beschreibung

Das Lateral Movement Analyzer-Tool (Beta) ermöglicht es Sicherheitsteams, in ihrer Umgebung nach aktiver seitlicher Bewegung zu suchen. Das Tool analysiert den AD-Datenverkehr offline und liefert umsetzbare Ergebnisse zu den Konten, bei denen der Verdacht besteht, dass sie kompromittiert wurden, und zu den Computern, auf die diese Konten zugegriffen haben. Die routinemäßige Verwendung dieses Tools kann erheblich dazu beitragen, seitliche Bewegungen in ihren frühesten Stadien zu erkennen und die erforderlichen Maßnahmen zu ergreifen, um bösartige Entitäten aus der Umgebung zu entfernen.

Details

Das Tool umfasst zwei Module: Sammler, das Authentifizierungsprotokolle aus der Umgebung sammelt, und Analyzer, das diese Protokolle analysiert, um Authentifizierungsanomalien im Zusammenhang mit seitlichen Bewegungsmustern zu erkennen.

Sammler

Das Event Log Collector-Modul sammelt Authentifizierungsprotokolle auf folgende Weise:

  • NTLM-Authentifizierungen: Scannen von Domänencontrollern für Windows-Ereignis 8004.
  • Kerberos-Authentifizierung: Scannen von Clientcomputern auf Windows-Ereignis 4648.

Anforderungen:

  • Domänenadministratorrechte.
  • LDAP/S- und RPC-Zugriff auf DC und Client.
  • Windows-Computer mit Python 3.8 oder höher.

Ausgabe: CSV-Datei mit den folgenden Feldern: Quellhost, Ziel, Benutzername, Authentifizierungstyp, SPN und Zeitstempel im Format %Y/%M/%D %H:%M

Analyzer

Der Analysator arbeitet mit den vom Collector bereitgestellten Daten und sucht anhand der folgenden Methoden nach seitlichen Bewegungsmustern:

  • Lateral Movement Analyzer (LATMA)-Algorithmus: Erweiterung des Hopper-Algorithmus zur Erkennung anomaler Benutzerauthentifizierungen.
  • Lateral Movement IoCs: Mit den von LATMA bereitgestellten anomalen Authentifizierungen sucht der Analysator nach Authentifizierungssequenzen und -mustern, die darauf hindeuten, dass eine aktive Lateralbewegung stattfindet.

Anforderungen:

  • Der Analysator kann sowohl von Windows- als auch von Linux-Rechnern ausgeführt werden.

Ausgang:

  • Textdatei mit einer Liste kompromittierter Benutzerkonten und Computer sowie einer zeilenweisen Beschreibung des mutmaßlichen Angriffs.
  • GIF-Datei mit vollständiger Visualisierung des mutmaßlichen Angriffsflusses.

Das Beta Version steht unten zum Download bereit.