Pesquisar

Língua

Analise o tráfego do AD com a ferramenta Analisador de Movimento Lateral (Beta)

Ferramentas

Descrição

Ferramenta Analisador de Movimento Lateral (beta) permite que as equipes de segurança procurem movimentos laterais ativos em seus ambientes. A ferramenta analisa o tráfego do AD offline e fornece resultados acionáveis ​​nas contas suspeitas de terem sido comprometidas e nas máquinas que essas contas acessaram. O uso rotineiro desta ferramenta pode ajudar significativamente na detecção de movimentos laterais em seus estágios iniciais e na execução das ações necessárias para remover entidades maliciosas do ambiente.

Adicionar ao carrinho

A ferramenta inclui dois módulos: Colecionador, que reúne logs de autenticação do ambiente, e Analista, que analisa esses logs para detectar anomalias de autenticação associadas a padrões de movimento lateral.

Colecionador

O módulo Event Log Collector reúne logs de autenticação da seguinte maneira:

  • Autenticações NTLM: verificação de controladores de domínio para evento 8004 do Windows.
  • Autenticação Kerberos: verificando máquinas clientes para evento Windows 4648.

Requisitos:

  • Privilégios de administrador de domínio.
  • Acesso LDAP/S e RPC ao DC e ao cliente.
  • Máquina Windows com Python 3.8 ou superior.

Saída: arquivo CSV com os seguintes campos: host de origem, destino, nome de usuário, tipo de autenticação, SPN e carimbos de data/hora no formato %Y/%M/%D %H:%M

Analista

O Analisador opera com os dados fornecidos pelo Coletor, procurando padrões de movimento lateral com base nos seguintes métodos:

  • Algoritmo Lateral Movement Analyzer (LATMA): aprimoramento do algoritmo Hopper para detectar autenticações anômalas de usuários.
  • IoCs de movimento lateral: com as autenticações anômalas fornecidas pelo LATMA, o analisador procura sequências e padrões de autenticação que indicam que um movimento lateral ativo está ocorrendo.

Requisitos:

  • O analisador pode ser executado em máquinas Windows e Linux.

Saída:

  • Arquivo de texto contendo uma lista de contas de usuários e máquinas comprometidas e uma descrição linha por linha do ataque suspeito.
  • Arquivo GIF com visualização completa do fluxo de ataque suspeito.

beta versão está disponível para download abaixo.