Zum Inhalt springen

Adalanche - Active Directory ACL Attack Path Visualizer Cheatsheet

Adalanche - Active Directory ACL Attack Path Visualizer Cheatsheet

Adalanche ist ein Open-Source-Tool auf Go-Basis, das Active Directory-Objekte, Berechtigungen (ACLs) und Gruppenmitgliedschaften sammelt und dann sofort die Angriffspfade in einem Graphen visualisiert — wer die Kontrolle über wen übernehmen kann und wie. Es beantwortet die Frage „Welche Berechtigungen haben Benutzer in AD und wer kann wen angreifen?” ohne externe Datenbank oder Ingestor-Stack: Es extrahiert AD-Daten, analysiert ACL-basierte Privilegiesteigerung und zeigt einen interaktiven Graphen im Browser. Es ist eine schnelle, eigenständige Alternative/Ergänzung zu BloodHound für autorisierte AD-Sicherheitsbewertungen.

Nur für autorisierte Active Directory-Bewertungen geeignet. Das Sammeln und Analysieren von Verzeichnisdaten erfordert Genehmigung des Domain-Inhabers.

Installation

MethodHow
BinaryDownload for Windows/Linux/macOS from GitHub Releases
From sourcego install github.com/lkarlslund/adalanche@latest
Single binaryKeine Abhängigkeiten; Sammler + Analyzer + Web-UI in einer Datei
Verifyadalanche version

Two Phases

PhaseCommand
CollectAD-Daten in eine lokale Datei extrahieren
AnalyzeDie Daten laden und die Graph-UI bereitstellen

Collecting Data

# Collect from a domain (LDAP), authenticated
adalanche collect activedirectory \
  --domain example.local \
  --username analyst --password '***' \
  --server dc01.example.local
FlagZweck
--domainZiel-AD-Domain (FQDN)
--serverDomain Controller zum Abfragen
--username / --passwordAnmeldedaten (oder Kerberos)
--authmodeAuthentifizierungsmethode (ntlm, kerberos, …)
--tlsmodeTLS/LDAPS-Optionen
collectorsactivedirectory, plus lokale Sammler

Daten werden als komprimierte Objekte in ein lokales data/-Verzeichnis gespeichert.

Analyzing / Serving the Graph

# Load collected data and open the web UI
adalanche analyze
# → browse to http://localhost:8080
FlagZweck
--datapathWo sich die erfassten Daten befinden
--bindAdresse/Port für die Web-UI
Query boxLDAP-ähnliche / integrierte Abfragen eingeben
Pre-defined analyses„Wer kann die Domain Admins erreichen” usw.

What It Maps (Attack Edges)

Edge/techniqueBedeutung
WriteDACL / WriteOwnerKann die Berechtigungen eines Objekts umschreiben
GenericAll / GenericWriteVolle/teilweise Kontrolle über ein Objekt
ForceChangePasswordKann das Passwort eines Ziels zurücksetzen
AddMemberKann sich einer privilegierten Gruppe hinzufügen
AllExtendedRightsDCSync und andere sensitive Rechte
Kerberos delegationConstrained/Unconstrained Delegation Missbrauch
GPO linksKontrolle über verlinkte Gruppenrichtlinie

Querying

QueryFindet
Target Domain AdminsAlles, das die DA-Gruppe erreichen kann
Pick a user → “Reach”Was dieser Prinzipal letztendlich kontrollieren kann
Filter by edge typeNur WriteDACL, nur Delegation usw.
Shortest pathMinimale Kette von A zu einem wertvollen Ziel

Die UI hebt den kürzesten Pfad der Privilegiesteigerung von einem beliebigen Prinzipal zu einem sensitiven Ziel hervor, die Kernausgabe der Bewertung.

Common Workflows

# Full assessment: collect then analyze
adalanche collect activedirectory --domain corp.local \
  --username audit --password '***' --server dc.corp.local
adalanche analyze    # open the browser, target "Domain Admins"

# Offline analysis: share the data/ folder, analyze anywhere
adalanche analyze --datapath ./data

Adalanche vs BloodHound

AspectAdalancheBloodHound (CE)
BackendKeine (Single Binary)Neo4j / API + Sammler
FocusACL/Permission-AngriffspfadeBreite AD/Azure-Angriffspfade
SetupMinimalSchwerere Stack
CollectorsIntegriertes AD + lokalSharpHound / AzureHound / NetExec
Best forSchnelle ACL-zentrische AnalyseUmfassende Pfadabbildung

Ergänzt BloodHound und Sammler wie NetExec; verwende Adalanche für schnelle, datenbankfreie ACL-Analyse.

Resources