BloodhoundAD Nedir ?
Bloodhound Active Directory, aktif dizin alanlarının güvenliğini analiz etmek için penetrasyon test cihazları tarafından geliştirilen açık kaynaklı bir araçtır. Amacı, test uzmanlarının bir ortamın (belirli bir ağ için toprağın yatırılması) hızlı ve kolay bir şekilde kapsamlı ve kullanımı kolay bir görüntüsünü elde etmelerini sağlamak ve özellikle ayrıcalıklı erişim elde etmeyi kolaylaştıracak ilişkileri haritalamaktır. anahtar kaynaklara.
Bloodhound kullanılarak toplanabilen veriler, yönetici haklarına sahip kullanıcıların bilgilerini ve söz konusu kullanıcıların ağdaki diğer bilgisayarlara erişip erişemediklerini ve grup üyeliği bilgilerini içerir. Tüm bu bilgiler bir saldırgan tarafından sömürülebilir, böylece gruplara yeni kullanıcılar ekleyebilir, mevcut kullanıcıları silebilir, sistemlere yeni yöneticiler ekleyebilir ve mevcut yöneticilerin kimlik bilgilerini değiştirebilirler.
BloodHound, verilerini açık kaynaklı Neo4j grafik veritabanına beslemek için tasarlanmıştır. Bu, BloodHound'un varlık düzeyleri ve ayrıcalık düzeyleri de dahil olmak üzere kullanıcı hesapları arasındaki ilişkileri gösteren diyagramlar oluşturmasına izin verir. Belirli bir ağ varlığı seçerek, kullanıcı o ana makineye ayrıcalıklı erişim elde etmenin yollarını ve bu erişimin kazanılabileceği hesapları ve makineleri gösteren bir harita oluşturabilir.
Bloodhound'u Kurma
Bloodhound, Linux, Windows ve OSX işletim sistemlerine kurabilirsiniz. Bloodhound, Neo4j'ye bağlıdır. Neo4j Java ile yazılmış bir grafik veritabanı yönetim sistemidir. Bu yüzden Java, Neo4j Bloodhound'u çalıştırmak için de gereklidir. Neo4j kullanmanın amacı, Bloodhound aracılığıyla elde edilen bilgiler arasındaki bağlantıyı görselleştirmektir. Windows işletim sisteminde, neo4j'nin Java'nın en son sürümüyle birlikte ayrı olarak yüklenmesi gerekir. Bloodhound çerçevesi daha sonra aşağıdaki komut kullanılarak Github'dan indirebilirsiniz.
Kod:
git clone https://github.com/adaptivethreat/Bloodhound
Kod:
apt-get update
apt-get dist-upgrade
Daha sonra, Bloodhound aşağıdaki komut kullanılarak kurulabilir.
Kod:
apt-get install bloodhound
Komut sadece Bloodhound'u değil, aynı zamanda Neo4j paketini de kurar. Bir sonraki adım, aşağıdaki komutu kullanarak Neo4j'yi başlatmak ve yapılandırmaktır.
Kod:
neo4j console
Yukarıdaki komut Neo4j'yi başlatır ve http: // localhost: 7474'te bir uzak arabirim oluşturur. Neo4j, Bloodhound ile varsayılan bir paket olarak kurulduğundan, varsayılan bir kullanıcı adı ve şifreye sahiptir.
Kullanıcı Adı: neo4j
Şifre: neo4j
Güvenlik nedeniyle varsayılan şifreyi değiştirmemiz gerekiyor. Varsayılan kimlik bilgilerini değiştirmek için, aşağıdaki adresi yazarak Neo4j veritabanını bir web tarayıcısında açın: http: // localhost: 7474 Yüklendikten sonra, Neo4j arayüzü varsayılan şifreyi değiştirme seçeneği sunar.
Verileri Bloodhound ile Analiz Etme Neo4j'yi yapılandırdıktan sonra, uygulamayı terminale yazarak Bloodhound arayüzünü açın.
bloodhound
Komut, aşağıdaki ekran görüntüsünde gösterildiği gibi Neo4j veritabanı kimlik bilgilerini ister.
Ekran görüntüsünde Bolt'un yerel ana bilgisayarda da etkinleştirildiğini görebiliriz. Cıvata, istemci sunucu iletişimi için kullanılan bir ağ protokolüdür. Neo4j DB bağlıyken Bloodhound arayüzünü açmak için gerekli kimlik bilgilerini sağlayın. Arayüz farklı seçeneklerle yüklenir. Sol tarafta, bazı önceden oluşturulmuş sorgular seçeneğiyle veritabanı bilgilerini görebiliriz.
Sorgular, hedef ana bilgisayarlardan ayıklanan verilerin analizine izin verir. Önceden oluşturulmuş sorguların yanı sıra özel sorgular da kullanılabilir. Sağ tarafta grafiği içe / dışa aktarma, veri yükleme ve eşik ayarları gibi farklı seçeneklerimiz var. İçe / dışa aktarma seçenekleri, geçerli grafikleri JSON biçiminde içe veya dışa aktarmak için kullanılır. Yükleme seçeneği, verileri Bloodhound arayüzüne beslemek için kullanılır.
Veri Toplama Gereksinimleri
Bloodhound genellikle Active Directory ağlarından üç tür bilgi gerektirir. Bu içerir
Giriş yapmış kullanıcılar
Yönetici haklarına sahip kullanıcılar
Kullanıcılar ve mevcut gruplar arasındaki ilişki
Yukarıdaki veriler, Bloodhound deposundan Powershell Ingestor kullanılarak toplanabilir.
BloodHound.Py adlı Python tabanlı bir ingestor da var ve bu fonksiyonun çalışması için pip yoluyla manuel olarak kurulması gerekiyor. BloodHound.Py şu anda diğer yatırımcının aksine Kerberos'u desteklemiyor. Ancak, yine de grup üyeliği toplama, yerel yönetici toplama, oturum toplama gibi varsayılan veri toplama görevlerini ve etki alanı güven numaralandırma gerçekleştirme gibi görevleri gerçekleştirebilir.
Moderatör tarafında düzenlendi: