Pular para o conteúdo
1337skills 1337skills - Folhas de Dicas

Folha de Dicas do BloodHound

Visão Geral

BloodHound é uma ferramenta de código aberto que usa teoria de grafos para revelar relações ocultas e frequentemente não intencionais dentro de um ambiente Active Directory (AD). Ele ajuda profissionais de segurança a identificar caminhos de ataque complexos que seriam impossíveis de encontrar manualmente. O BloodHound consiste em dois componentes principais:

# Download Neo4j from https://neo4j.com/download/
# Extract the ZIP file
# Open command prompt as administrator
cd C:\path\to\neo4j\bin
neo4j.bat install-service
neo4j.bat start
```**SharpHound**: O coletor de dados que reúne informações do Active Directory```powershell
# Download BloodHound from https://github.com/BloodHoundAD/BloodHound/releases
# Extract the ZIP file
# Run BloodHound.exe
```**BloodHound GUI**: A interface gráfica que visualiza e analisa os dados coletados

Would you like me to continue translating the rest of the document? It's quite extensive, so I want to confirm your preference.```bash
sudo apt update
sudo apt install bloodhound neo4j

# Start Neo4j service
sudo neo4j start

# Launch BloodHound
bloodhound

macOS

# Install Homebrew if not already installed
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

# Install Neo4j and BloodHound
brew install neo4j bloodhound

# Start Neo4j service
brew services start neo4j

# Launch BloodHound
bloodhound

BloodHound Community Edition (Docker)

# Install BloodHound CLI
curl -L https://github.com/SpecterOps/BloodHound/releases/latest/download/bloodhound-cli-linux-amd64 -o bloodhound-cli
chmod +x bloodhound-cli
sudo mv bloodhound-cli /usr/local/bin/

# Deploy BloodHound CE
bloodhound-cli deploy

Data Collection

SharpHound (Windows Executable)

Basic Collection

# Download SharpHound
Invoke-WebRequest -Uri https://github.com/BloodHoundAD/SharpHound/releases/latest/download/SharpHound.exe -OutFile SharpHound.exe

# Run SharpHound with default collection methods
.\SharpHound.exe --CollectionMethods All

Collection Methods

MétodoDescrição
AllColete todos os dados
GroupColetar informações de associação de grupo
LocalGroupColetar informações de administrador local
GPOLocalGroupColetar informações de administrador local via GPO
SessionColetar informações da sessão
LoggedOnColetar informações de usuário conectado
TrustsColetar informações de confiança de domínio
ACLColetar informações de ACL
ContainerColetar informações do container
RDPColetar informações de Usuários de Remote Desktop
ObjectPropsColetar propriedades de objeto
DCOMColetar informações do DCOM
SPNTargetsColetar informações de Service Principal Name
PSRemoteColetar informações de PowerShell Remoting

Advanced Collection Options

# Collect specific data types
.\SharpHound.exe --CollectionMethods Group,LocalGroup,Session,ACL

# Collect data with stealth options (slower but less noisy)
.\SharpHound.exe --CollectionMethods All --Stealth

# Collect data from specific domain
.\SharpHound.exe --CollectionMethods All --Domain example.com

# Collect data with LDAP filtering
.\SharpHound.exe --CollectionMethods All --LdapFilter "(objectClass=user)"

# Collect data from specific OU
.\SharpHound.exe --CollectionMethods All --SearchBase "OU=Servers,DC=example,DC=com"

# Collect data with specific naming context
.\SharpHound.exe --CollectionMethods All --DomainController dc01.example.com

SharpHound PowerShell Module

Basic Collection

# Import SharpHound module
Import-Module .\SharpHound.ps1

# Run SharpHound with default collection methods
Invoke-BloodHound -CollectionMethod All

Advanced Collection Options

# Collect specific data types
Invoke-BloodHound -CollectionMethod Group,LocalGroup,Session,ACL

# Collect data with stealth options
Invoke-BloodHound -CollectionMethod All -Stealth

# Collect data from specific domain
Invoke-BloodHound -CollectionMethod All -Domain example.com

# Collect data with LDAP filtering
Invoke-BloodHound -CollectionMethod All -LdapFilter "(objectClass=user)"

# Collect data from specific OU
Invoke-BloodHound -CollectionMethod All -SearchBase "OU=Servers,DC=example,DC=com"

BloodHound.py (Linux/macOS)

Installation

pip install bloodhound

Basic Collection

bloodhound-python -u username -p password -d domain.local -ns 10.10.10.10 -c All

Advanced Collection Options

# Collect specific data types
bloodhound-python -u username -p password -d domain.local -ns 10.10.10.10 -c Group,LocalAdmin,Session,ACL

# Collect data with Kerberos authentication
bloodhound-python -u username -p password -d domain.local -ns 10.10.10.10 -c All --kerberos

# Collect data with specific domain controller
bloodhound-python -u username -p password -d domain.local -ns 10.10.10.10 -c All --dns-tcp

# Collect data with LDAP SSL
bloodhound-python -u username -p password -d domain.local -ns 10.10.10.10 -c All --secure

AzureHound (Azure AD)

Installation

# Download AzureHound
Invoke-WebRequest -Uri https://github.com/BloodHoundAD/AzureHound/releases/latest/download/azurehound-windows-amd64.zip -OutFile azurehound.zip
Expand-Archive -Path azurehound.zip -DestinationPath .

Basic Collection

# Authenticate to Azure
Connect-AzAccount

# Run AzureHound
.\azurehound.exe -o azure_data.zip

Using BloodHound

Neo4j Database Connection

  • Default URL: bolt://localhost:7687
  • Default credentials: neo4j/neo4j (first login requires password change)

Data Import

  1. Launch BloodHound
  2. Connect to Neo4j database
  3. Drag and drop the ZIP file containing SharpHound data
  4. Wait for import to complete

Pre-Built Queries

BloodHound comes with several pre-built queries accessible from the “Queries” tab:

Finding Privileged Users

  • Find all Domain Admins
  • Find all Enterprise Admins
  • Find Shortest Paths to Domain Admins
  • Find Shortest Paths to High Value Targets

Finding Attack Paths

  • Find Shortest Paths to Domain Admins
  • Find Shortest Paths to High Value Targets
  • Find Shortest Paths to Unconstrained Delegation Systems

Finding Vulnerable Configurations

  • Find Kerberoastable Users
  • Find AS-REP Roastable Users
  • Find Computers with Unconstrained Delegation
  • Find Computers with Constrained Delegation
  • Find Domain Trusts

Custom Cypher Queries

Find Shortest Paths to Domain Admins

MATCH (n:User),(m:Group \\\\{name:'DOMAIN ADMINS@DOMAIN.LOCAL'\\\\}),p=shortestPath((n)-[*1..]->(m)) RETURN p

Find Kerberoastable Users with Path to Domain Admins

MATCH (n:User \\\\{hasspn:true\\\\}),(m:Group \\\\{name:'DOMAIN ADMINS@DOMAIN.LOCAL'\\\\}),p=shortestPath((n)-[*1..]->(m)) RETURN p

Find Computers with Local Admin Rights

MATCH (u:User),(c:Computer),p=(u)-[:AdminTo]->(c) RETURN p

Find Users with DCSync Rights

MATCH (u:User),(d:Domain),p=(u)-[:DCSync]->(d) RETURN p

Find Computers with Constrained Delegation

MATCH (c:Computer \\\\{trustedtoauth:true\\\\}) RETURN c
```#### Encontrar Caminhos de Ataque a partir de Usuário Específico
```cypher
MATCH (n:User \\\\{name:'USER@DOMAIN.LOCAL'\\\\}),(m:Group \\\\{name:'DOMAIN ADMINS@DOMAIN.LOCAL'\\\\}),p=shortestPath((n)-[*1..]->(m)) RETURN p
```#### Encontrar Todos os Usuários com Caminho para Alvos de Alto Valor
```cypher
MATCH (u:User),(g:Group),p=shortestPath((u)-[*1..]->(g)) WHERE g.highvalue=true RETURN p
```#### Encontrar Computadores Onde Usuários de Domínio Têm Direitos de Administrador Local
```cypher
MATCH (g:Group \\\\{name:'DOMAIN USERS@DOMAIN.LOCAL'\\\\}),(c:Computer),p=(g)-[:AdminTo]->(c) RETURN p
```#### Encontrar Computadores com Direitos RDP
```cypher
MATCH (u:User),(c:Computer),p=(u)-[:CanRDP]->(c) RETURN p
```#### Encontrar Usuários com Senha Nunca Expira
```cypher
MATCH (u:User \\\\{pwdneverexpires:true\\\\}) RETURN u
```## Técnicas de Ataque

### Kerberoasting
Alveja contas de serviço com SPNs para extrair hashes de tickets de serviço para quebra offline.

#### Encontrando Usuários Kerberoastáveis
```cypher
MATCH (u:User \\\\{hasspn:true\\\\}) RETURN u
MATCH (n:User \\\\{hasspn:true\\\\}),(m:Group \\\\{name:'DOMAIN ADMINS@DOMAIN.LOCAL'\\\\}),p=shortestPath((n)-[*1..]->(m)) RETURN p

AS-REP Roasting

Alveja contas de usuário com a configuração “Não requer pré-autenticação Kerberos” habilitada.

Encontrando Usuários AS-REP Roastáveis

MATCH (u:User \\\\{dontreqpreauth:true\\\\}) RETURN u

Abuso de ACL

Explora listas de controle de acesso mal configuradas para ganhar privilégios elevados.

Encontrando Permissões WriteDacl

MATCH (n:User),(m:Group \\\\{name:'DOMAIN ADMINS@DOMAIN.LOCAL'\\\\}),p=(n)-[:WriteDacl]->(m) RETURN p

Encontrando Permissões GenericAll

MATCH (n:User),(m:Group \\\\{name:'DOMAIN ADMINS@DOMAIN.LOCAL'\\\\}),p=(n)-[:GenericAll]->(m) RETURN p

Delegação Não Restrita

Explora computadores com delegação não restrita para roubar tickets de usuário.

Encontrando Computadores com Delegação Não Restrita

MATCH (c:Computer \\\\{unconstraineddelegation:true\\\\}) RETURN c

Delegação Restrita

Explora delegação restrita mal configurada para personificar usuários para serviços específicos.

Encontrando Computadores com Delegação Restrita

MATCH (c:Computer \\\\{trustedtoauth:true\\\\}) RETURN c

Delegação Restrita Baseada em Recursos

Explora delegação restrita baseada em recursos mal configurada para ganhar acesso a recursos.

Encontrando Computadores com Delegação Restrita Baseada em Recursos

MATCH (c:Computer)-[:AllowedToAct]->(t:Computer) RETURN c,t

DCSync

Explora direitos de replicação para realizar sincronização de controlador de domínio e extrair hashes de senha.

Encontrando Usuários com Direitos DCSync

MATCH (u:User),(d:Domain),p=(u)-[:DCSync]->(d) RETURN p

Tipos de Bordas do BloodHound

Tipo de BordaDescrição
MemberOfUtilizador/Grupo é membro de um grupo
AdminToUtilizador/Grupo tem direitos de administrador local num computador
HasSessionUtilizador tem uma sessão num computador
CanRDPO usuário pode fazer RDP em um computador
ExecuteDCOMO usuário pode executar DCOM em um computador
AllowedToDelegateComputador é permitido delegar para um serviço
AddAllowedToActComputadores podem agir em nome de outro principal
AllowedToActPrincipal está autorizado a agir em nome de outro principal
ContainsOU/Container contém um objeto
GpLinkGPO está vinculado a uma OU/Domínio/Site
HasSIDHistoryO objeto tem histórico de SID de outro objeto
TrustedByDomínio é confiável por outro domínio
DCSyncUtilizador tem direitos para realizar operação DCSync
GenericAllUsuário tem controle total sobre um objeto
GenericWriteO usuário pode escrever em certas propriedades de um objeto
WriteDaclO usuário pode modificar o descritor de segurança de um objeto
WriteOwnerO usuário pode assumir a propriedade de um objeto
AddMemberO usuário pode adicionar membros a um grupo
ForceChangePasswordO usuário pode alterar a senha de outro usuário

Considerações de Segurança Operacional

Minimizando Risco de Detecção

  • Use o parâmetro para reduzir ruído
  • Colete dados durante horário comercial quando a atividade de rede é alta
  • Evite coletar todos os dados de uma vez; espalhe a coleta ao longo do tempo
  • Use filtragem LDAP para limitar o escopo da coleta
  • Considere usar BloodHound.py em vez de SharpHound em ambientes sensíveis

Limpando

  • Exclua binários e arquivos de saída do SharpHound após o uso

  • Limpe o histórico do PowerShell: --Stealth

  • Remova o módulo SharpHound da memória: Clear-History

  • Exclua o banco de dados Neo4j quando a análise estiver concluída

Solução de Problemas

Problemas Comuns

Problemas de Conexão Neo4j

  • Certifique-se de que o serviço Neo4j está em execução: Remove-Module SharpHound

Would you like me to fill in the remaining empty sections or placeholders?neo4j.bat status or systemctl status neo4j

  • Verifique se o URL do bolt correto está sendo usado (padrão: bolt://localhost:7687)
  • Verificar credenciais (padrão: neo4j/neo4j)
  • Verificar se outro processo está usando a porta 7687

Problemas de Coleta do SharpHound

  • Garantir que você tenha privilégios suficientes (usuário de domínio no mínimo)
  • Tentar executar com privilégios elevados
  • Verificar conectividade de rede com controladores de domínio
  • Verificar conectividade LDAP/LDAPS
  • Tentar especificar um controlador de domínio com --DomainController

Problemas de Importação de Dados

  • Garantir que o arquivo ZIP contenha arquivos JSON válidos
  • Verificar se o banco de dados Neo4j tem espaço em disco suficiente
  • Tentar limpar o banco de dados antes da importação: MATCH (n) DETACH DELETE n
  • Verificar se o arquivo ZIP não está corrompido

Recursos