Ara

Dil

Yanal Hareket Analiz Aracı (Beta) ile AD Trafiğini Analiz Edin

Tools

Açıklama

The Yanal Hareket Analiz Aracı (beta), güvenlik ekiplerinin ortamlarında aktif yanal hareket aramasına olanak tanır. Araç, AD trafiğini çevrimdışı olarak analiz eder ve ele geçirildiğinden şüphelenilen hesaplar ve bu hesapların eriştiği makineler hakkında eyleme geçirilebilir çıktılar sağlar. Bu aracın rutin kullanımı, yanal hareketin en erken aşamalarında algılanmasına ve kötü niyetli varlıkları ortamdan uzaklaştırmak için gerekli önlemlerin alınmasına önemli ölçüde yardımcı olabilir.

- Detaylar

Araç iki modül içerir: Kolektörortamdan kimlik doğrulama günlüklerini toplayan ve analizör, yanal hareket modelleriyle ilişkili kimlik doğrulama anormalliklerini algılamak için bu günlükleri analiz eder.

Kolektör

Event Log Collector modülü, kimlik doğrulama günlüklerini aşağıdaki şekilde toplar:

  • NTLM kimlik doğrulamaları: Windows olayı 8004 için Etki Alanı Denetleyicilerini tarama.
  • Kerberos kimlik doğrulaması: Windows olayı 4648 için istemci makinelerini tarama.

Gereksinimler:

  • Etki alanı yöneticisi ayrıcalıkları.
  • DC'ye ve istemciye LDAP/S ve RPC erişimi.
  • Python 3.8 veya üzeri Windows makinesi.

Çıktı: Şu alanlara sahip CSV dosyası: %Y/%M/%D %H:%M biçiminde kaynak ana bilgisayar, hedef, kullanıcı adı, kimlik doğrulama türü, SPN ve zaman damgaları

analizör

Analizör, Collector'ın sağladığı veriler üzerinde çalışır ve aşağıdaki yöntemlere dayalı olarak yanal hareket modellerini arar:

  • Yanal Hareket Analiz Cihazı (LATMA) algoritması: Anormal kullanıcı kimlik doğrulamalarını tespit etmek için Hopper algoritmasının geliştirilmesi.
  • Yanal hareket IoC'leri: LATMA'nın sağladığı anormal kimlik doğrulamalarıyla, analizör, aktif bir yanal hareketin gerçekleştiğini gösteren kimlik doğrulama dizilerini ve modellerini arar.

Gereksinimler:

  • Analizör hem Windows hem de Linux makinelerinden çalıştırılabilir.

Çıktı:

  • Güvenliği ihlal edilmiş kullanıcı hesaplarının ve makinelerin bir listesini ve şüpheli saldırının satır satır açıklamasını içeren metin dosyası.
  • Şüpheli saldırı akışının tam görselleştirmesini içeren GIF dosyası.

The beta sürümü aşağıdan indirilebilir.