BloodHound
BloodHound 是什么?
BloodHound开源工具,利用图论方法绘制并分析 Active Directory 与 Azure AD 中通往域管理员等高价值目标的攻击路径。
BloodHound 是 Andy Robbins、Will Schroeder 与 Rohan Vazarkar 开发、目前由 SpecterOps 维护的开源攻击路径分析工具。SharpHound 或 AzureHound 采集器会从 Active Directory 和 Entra ID 收集用户、组、会话、ACL 与信任关系,BloodHound 界面随后以 Neo4j 图形展示,并突出显示从任何被攻陷主体到高价值资产的最短路径。红队借此规划权限提升,蓝队则使用相同的图来优先开展加固(Tier 0、ACL 清理、组成员裁剪)。采集需要对目录的读权限,通常会产生明显且可被检测的活动。
● 示例
- 01
可视化从一名帮助台用户经组嵌套到达 Domain Admin 的最短路径。
- 02
蓝队通过 BloodHound 删除遗留服务账户上未使用的 DCSync 权限。
● 常见问题
BloodHound 是什么?
开源工具,利用图论方法绘制并分析 Active Directory 与 Azure AD 中通往域管理员等高价值目标的攻击路径。 它属于网络安全的 防御与运营 分类。
BloodHound 是什么意思?
开源工具,利用图论方法绘制并分析 Active Directory 与 Azure AD 中通往域管理员等高价值目标的攻击路径。
BloodHound 是如何工作的?
BloodHound 是 Andy Robbins、Will Schroeder 与 Rohan Vazarkar 开发、目前由 SpecterOps 维护的开源攻击路径分析工具。SharpHound 或 AzureHound 采集器会从 Active Directory 和 Entra ID 收集用户、组、会话、ACL 与信任关系,BloodHound 界面随后以 Neo4j 图形展示,并突出显示从任何被攻陷主体到高价值资产的最短路径。红队借此规划权限提升,蓝队则使用相同的图来优先开展加固(Tier 0、ACL 清理、组成员裁剪)。采集需要对目录的读权限,通常会产生明显且可被检测的活动。
如何防御 BloodHound?
针对 BloodHound 的防御通常结合技术控制与运营实践,详见上方完整定义。
BloodHound 还有哪些其他名称?
常见的别称包括: BloodHound CE, BloodHound Enterprise。
● 相关术语
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- attacks№ 583
Kerberoasting
一种针对服务账户的离线口令破解攻击:申请 Kerberos 服务票据并对其加密部分进行离线破解,以还原明文密码。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
- vulnerabilities№ 860
权限提升
一类漏洞,使攻击者获得超出原本授予的权限,例如从普通用户变为管理员。
- defense-ops№ 606
横向移动
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
- attacks№ 447
黄金票据
使用 krbtgt 账户哈希签名伪造的 Kerberos TGT,使攻击者可在整个域中冒充任意主体。
● 参见
- № 325发现(MITRE 战术)