BloodHound：用图论挖出 Active Directory 里隐藏的攻击路径

文章目录BloodHound用图论挖出 Active Directory 里隐藏的攻击路径它到底能干什么为什么安全团队需要这个新版本的变化实际使用感受谁适合用BloodHound用图论挖出 Active Directory 里隐藏的攻击路径做安全的人都知道Active DirectoryAD环境一旦规模大了权限关系就变得极其复杂。用户、组、计算机、GPO 之间存在大量隐式关系靠人肉审计几乎不可能理清。BloodHound 就是为了解决这个问题而生的——它用图论的方法把 AD 环境里的所有关系建模成一张图然后自动计算出攻击路径。这个项目在 GitHub 上有超过 1 万 Star由安全研究员 _wald0、CptJesus 和 harmj0y 创建后来由 SpecterOps 团队维护。说白了这是一个从红队视角出发的安全工具但蓝队用它来做防御审计同样有效。它到底能干什么BloodHound 的核心能力是回答一个问题从 A 点到 B 点攻击者怎么走比如你想知道一个普通域用户有没有办法拿到域管理员权限。传统做法是手动检查组策略、ACL、信任关系费时费力还容易遗漏。BloodHound 的做法是把整个 AD 环境的数据采集下来导入图形数据库Neo4j然后跑最短路径算法几秒钟就能告诉你答案。它能发现的攻击路径包括但不限于用户到域管理员的最短提权路径计算机之间的横向移动路径GPO 策略中的权限配置问题信任关系带来的跨域攻击可能采集数据的方式是通过 PowerShell 脚本或 SharpHound 客户端拿到 AD 的 LDAP 数据和本地权限信息然后导入数据库。为什么安全团队需要这个举个实际场景。某公司有 5000 个域用户200 台服务器组策略几十条。安全团队想知道如果某个普通员工的账号被钓鱼了攻击者能走多远用 BloodHound 跑一遍可能发现这个账号属于某个看起来无害的组但这个组有权限修改某个 GPO而这个 GPO 又应用到了域控制器。三步之内就能拿到最高权限。这种路径靠人工审计很难发现因为每一步单独看都合理但组合起来就是一条完整的攻击链。BloodHound 的价值就在于把这些隐式关系显式化。新版本的变化这里要说一个重要的事情BloodHound Legacy也就是 v4 版本已经停止维护了。最后一个更新是 2023 年仓库很快会被归档。SpecterOps 团队推出了全新的 BloodHound Community Edition完全免费功能上比 Legacy 版更强。如果你现在要开始用直接上 Community Edition 就行别再用老版本了。新版本的改进主要在几个方面采集效率更高查询速度更快界面也做了重新设计。对于安全团队来说升级几乎没有学习成本旧的数据也能迁移过去。实际使用感受作为一个安全工具BloodHound 的定位很精准。它不做漏洞扫描不做渗透测试只做一件事攻击路径分析。这种专注让它在细分领域几乎没有对手。图形化的展示方式也比纯文本报告直观得多。给管理层汇报的时候一张攻击路径图比十页 Word 文档有说服力。当然也有局限。数据采集需要在域环境内执行不能远程扫描。大规模环境的数据导入和查询也需要一定的硬件资源Neo4j 吃内存不轻。但对于中大型企业来说这些都不是问题。谁适合用两类人最需要这个一是红队成员。用 BloodHound 做前期侦察快速摸清域环境的攻击面比手动枚举高效太多。二是蓝队和安全运维。定期跑一遍 BloodHound看看自己的 AD 环境里有没有暴露的攻击路径提前修补。很多企业做完这个检查之后才发现原来自己离被攻破只差一步。BloodHound 用的是 GPLv3 协议代码完全开源。安全团队可以直接部署在内网环境数据不出域合规性有保障。oodHound 用的是 GPLv3 协议代码完全开源。安全团队可以直接部署在内网环境数据不出域合规性有保障。