【安全资讯】ShadowHound：提升Active Directory侦察的隐秘与高效工具

概要：

在网络安全领域，Active Directory（AD）侦察的隐秘性和有效性至关重要。传统方法常常依赖外部二进制文件，增加了被高级端点检测与响应（EDR）系统发现的风险。ShadowHound作为一种新兴工具，通过利用本地PowerShell功能和合法工具，能够在最小化足迹的同时获取AD数据，为BloodHound分析提供支持。

主要内容：

ShadowHound的出现应对了AD侦察中的隐秘性挑战。BloodHound是一个广泛使用的工具，用于可视化AD关系并识别潜在攻击路径，依赖于用户、组、计算机及其复杂连接的全面数据。ShadowHound通过两种方法进行数据采集：

1. Active Directory Web Services（ADWS）：利用Active Directory模块中的Get-ADObject cmdlet，通过9389端口与AD进行通信，充分利用PowerShell的内置功能，减少被检测的风险。

2. 轻量级目录访问协议（LDAP）：通过DirectorySearcher类直接对AD域控制器执行LDAP查询，避免依赖外部工具，进一步降低了触发警报的可能性。

ShadowHound的优势在于其有效规避EDR检测，能够在大型AD环境中表现出色，克服连接挑战，确保数据收集的高效性。此外，ShadowHound还通过精心选择的LDAP过滤器，降低了在Microsoft Defender for Identity中触发警报的风险。通过与pyLdapSearch的集成，ShadowHound为安全专业人员提供了先进的分析能力，进一步提升了AD侦察的效率和隐秘性。