Analise o tráfego do AD com a ferramenta Analisador de Movimento Lateral (Beta)
Descrição
A Ferramenta Analisador de Movimento Lateral (beta) permite que as equipes de segurança procurem movimentos laterais ativos em seus ambientes. A ferramenta analisa o tráfego do AD offline e fornece resultados acionáveis nas contas suspeitas de terem sido comprometidas e nas máquinas que essas contas acessaram. O uso rotineiro desta ferramenta pode ajudar significativamente na detecção de movimentos laterais em seus estágios iniciais e na execução das ações necessárias para remover entidades maliciosas do ambiente.
Adicionar ao carrinho
A ferramenta inclui dois módulos: Colecionador, que reúne logs de autenticação do ambiente, e Analista, que analisa esses logs para detectar anomalias de autenticação associadas a padrões de movimento lateral.
Colecionador
O módulo Event Log Collector reúne logs de autenticação da seguinte maneira:
- Autenticações NTLM: verificação de controladores de domínio para evento 8004 do Windows.
- Autenticação Kerberos: verificando máquinas clientes para evento Windows 4648.
Requisitos:
- Privilégios de administrador de domínio.
- Acesso LDAP/S e RPC ao DC e ao cliente.
- Máquina Windows com Python 3.8 ou superior.
Saída: arquivo CSV com os seguintes campos: host de origem, destino, nome de usuário, tipo de autenticação, SPN e carimbos de data/hora no formato %Y/%M/%D %H:%M
Analista
O Analisador opera com os dados fornecidos pelo Coletor, procurando padrões de movimento lateral com base nos seguintes métodos:
- Algoritmo Lateral Movement Analyzer (LATMA): aprimoramento do algoritmo Hopper para detectar autenticações anômalas de usuários.
- IoCs de movimento lateral: com as autenticações anômalas fornecidas pelo LATMA, o analisador procura sequências e padrões de autenticação que indicam que um movimento lateral ativo está ocorrendo.
Requisitos:
- O analisador pode ser executado em máquinas Windows e Linux.
Saída:
- Arquivo de texto contendo uma lista de contas de usuários e máquinas comprometidas e uma descrição linha por linha do ataque suspeito.
- Arquivo GIF com visualização completa do fluxo de ataque suspeito.
A beta versão está disponível para download abaixo.