횡적 이동 분석 도구(베타)로 AD 트래픽 분석
도구
상품 설명
XNUMXD덴탈의 측면 이동 분석기 도구 (베타)를 사용하면 보안 팀이 환경에서 활성 측면 이동을 찾을 수 있습니다. 이 도구는 오프라인에서 AD 트래픽을 분석하고 손상된 것으로 의심되는 계정과 이러한 계정이 액세스한 시스템에 대해 실행 가능한 결과를 제공합니다. 이 도구를 일상적으로 사용하면 초기 단계에서 측면 이동을 감지하고 환경에서 악성 개체를 제거하는 데 필요한 조치를 취하는 데 크게 도움이 될 수 있습니다.
세부 정보
이 도구에는 두 가지 모듈이 포함되어 있습니다. 수집가, 환경에서 인증 로그를 수집하고 분석기, 이러한 로그를 분석하여 측면 이동 패턴과 관련된 인증 이상을 감지합니다.
수집가
Event Log Collector 모듈은 다음과 같은 방식으로 인증 로그를 수집합니다.
- NTLM 인증: Windows 이벤트 8004에 대해 도메인 컨트롤러를 검색합니다.
- Kerberos 인증: 클라이언트 컴퓨터에서 Windows 이벤트 4648을 검색합니다.
요구 사항:
- 도메인 관리자 권한.
- DC 및 클라이언트에 대한 LDAP/S 및 RPC 액세스.
- Python 3.8 이상이 설치된 Windows 시스템.
출력: 소스 호스트, 대상, 사용자 이름, 인증 유형, SPN 및 %Y/%M/%D %H:%M 형식의 타임스탬프 필드가 포함된 CSV 파일
분석기
Analyzer는 Collector가 제공하는 데이터에서 작동하며 다음 방법을 기반으로 측면 이동 패턴을 검색합니다.
- LATMA(Lateral Movement Analyzer) 알고리즘: 비정상적인 사용자 인증을 감지하기 위해 Hopper 알고리즘을 개선했습니다.
- 측면 이동 IoC: LATMA가 제공하는 비정상적인 인증을 통해 분석기는 활성 측면 이동이 발생하고 있음을 나타내는 인증 시퀀스 및 패턴을 검색합니다.
요구 사항:
- 분석기는 Windows 및 Linux 시스템 모두에서 실행할 수 있습니다.
출력:
- 손상된 사용자 계정 및 컴퓨터 목록과 의심되는 공격에 대한 설명이 포함된 텍스트 파일입니다.
- 의심되는 공격 흐름을 전체적으로 시각화한 GIF 파일.
XNUMXD덴탈의 베타 버전은 아래에서 다운로드할 수 있습니다.