기술설명
The 측면 이동 분석기 도구 (베타) 보안팀이 환경에서 활성적인 측면 이동을 찾을 수 있도록 합니다. 이 도구는 AD 트래픽을 오프라인으로 분석하고 손상된 것으로 의심되는 계정과 이 계정이 액세스한 머신에 대한 실행 가능한 출력을 제공합니다. 이 도구를 정기적으로 사용하면 탐지하는 데 상당한 도움이 될 수 있습니다. 측면 운동 가장 초기 단계에서 악성 엔티티를 환경에서 제거하는 데 필요한 조치를 취합니다.
세부 정보
이 도구에는 두 가지 모듈이 포함되어 있습니다. 수집가, 수집 인증 환경의 로그 및 분석기, 이러한 로그를 분석하여 측면 이동 패턴과 관련된 인증 이상을 감지합니다.
수집가
Event Log Collector 모듈은 다음과 같은 방식으로 인증 로그를 수집합니다.
요구 사항:
- 도메인 관리자 권한.
- DC 및 클라이언트에 대한 LDAP/S 및 RPC 액세스.
- Python 3.8 이상이 설치된 Windows 시스템.
출력: 소스 호스트, 대상, 사용자 이름, 인증 유형, SPN 및 %Y/%M/%D %H:%M 형식의 타임스탬프 필드가 포함된 CSV 파일
분석기
Analyzer는 Collector가 제공하는 데이터에서 작동하며 다음 방법을 기반으로 측면 이동 패턴을 검색합니다.
- LATMA(Lateral Movement Analyzer) 알고리즘: 비정상적인 사용자 인증을 감지하기 위해 Hopper 알고리즘을 개선했습니다.
- 측면 이동 IoC: LATMA가 제공하는 비정상적인 인증을 통해 분석기는 활성 측면 이동이 발생하고 있음을 나타내는 인증 시퀀스 및 패턴을 검색합니다.
요구 사항:
- 분석기는 Windows 및 Linux 시스템 모두에서 실행할 수 있습니다.
출력:
- 손상된 목록이 포함된 텍스트 파일 사용자 계정 그리고 기계와 의심되는 공격을 줄줄이 설명합니다.
- 의심되는 공격 흐름을 전체적으로 시각화한 GIF 파일.
The 베타 버전은 아래에서 다운로드할 수 있습니다.