BloodHound
O que é BloodHound?
BloodHoundFerramenta open source que usa teoria de grafos para mapear e analisar caminhos de ataque no Active Directory e no Azure AD ate alvos de alto valor como Domain Admin.
O BloodHound e uma ferramenta open source de analise de caminhos de ataque criada por Andy Robbins, Will Schroeder e Rohan Vazarkar, atualmente mantida pela SpecterOps. Um coletor (SharpHound ou AzureHound) reune usuarios, grupos, sessoes, ACLs e relacoes de confianca do Active Directory e do Entra ID, e a interface do BloodHound exibe esses dados como um grafo Neo4j, destacando o caminho mais curto de qualquer principal comprometido ate ativos de alto valor. Red teams o utilizam para planejar escalada de privilegios e blue teams para priorizar hardening (Tier 0, limpeza de ACLs, reducao de membros de grupos). A coleta exige acesso de leitura ao diretorio e e suficientemente ruidosa para ser detectavel.
● Exemplos
- 01
Visualizar o caminho mais curto de um usuario do helpdesk ate Domain Admin via aninhamento de grupos.
- 02
Blue team usa o BloodHound para remover direitos DCSync nao utilizados de contas de servico antigas.
● Perguntas frequentes
O que é BloodHound?
Ferramenta open source que usa teoria de grafos para mapear e analisar caminhos de ataque no Active Directory e no Azure AD ate alvos de alto valor como Domain Admin. Pertence à categoria Defesa e operações da cibersegurança.
O que significa BloodHound?
Ferramenta open source que usa teoria de grafos para mapear e analisar caminhos de ataque no Active Directory e no Azure AD ate alvos de alto valor como Domain Admin.
Como funciona BloodHound?
O BloodHound e uma ferramenta open source de analise de caminhos de ataque criada por Andy Robbins, Will Schroeder e Rohan Vazarkar, atualmente mantida pela SpecterOps. Um coletor (SharpHound ou AzureHound) reune usuarios, grupos, sessoes, ACLs e relacoes de confianca do Active Directory e do Entra ID, e a interface do BloodHound exibe esses dados como um grafo Neo4j, destacando o caminho mais curto de qualquer principal comprometido ate ativos de alto valor. Red teams o utilizam para planejar escalada de privilegios e blue teams para priorizar hardening (Tier 0, limpeza de ACLs, reducao de membros de grupos). A coleta exige acesso de leitura ao diretorio e e suficientemente ruidosa para ser detectavel.
Como se defender contra BloodHound?
As defesas contra BloodHound costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para BloodHound?
Nomes alternativos comuns: BloodHound CE, BloodHound Enterprise.
● Termos relacionados
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- attacks№ 583
Kerberoasting
Ataque offline de palavras-passe que solicita tickets de servico Kerberos para contas de servico e quebra a parte cifrada para recuperar as palavras-passe em claro.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.
- defense-ops№ 606
Movimento Lateral
Tática MITRE ATT&CK (TA0008) que reúne técnicas com que o atacante salta de um host comprometido para outros sistemas no ambiente.
- attacks№ 447
Golden Ticket
TGT Kerberos forjado, assinado com o hash da conta krbtgt, que permite ao atacante personificar qualquer principal do dominio.