Идём по киберследу: Анализ защищенности Active Directory c помощью утилиты BloodHound

Внимание

По умолчанию поиск по ключевому слову ограничивается 10 узлами. Изменить количество узлов можно в Raw Query, если в настройках включен Query Debug Mode.

Кроме имени для поиска можно использовать свойство objectid.

Форма Поиск путей (Pathfinding)

Функция позволяет строить короткие пути. При нажатии на иконку появляется еще одна форма поиска, в первой строке указывается начальный узел, во второй – конечный (рис. 2.14).

Работает аналогично полю поиска, при нажатии стрелки формируется Cypher-запрос с построением коротких путей от первого узла до конечного.

Рис. 2.14. Форма поиска путей

Информация

BloodHound создает Cypher-запрос со всеми связями, указанными в файле AppContainer.jsx, и с учетом фильтра связей.

Возврат (Back)

Кнопка в виде стрелки влево возвращает предыдущий граф, но без возврата самого запроса в Raw Query.

Фильтр связей (Filter Edge Types)

При нажатии на кнопку в виде воронки появляется новое окно с перечнем доступных связей, при снятии галки связь убирается из запроса при использовании формы Поиск путей (Pathfinding). Каждая группа имеет кнопки включения всех связей (две галки) и отключения всех связей (ластик).

Рис. 2.15. Фильтр связей

Внимание

Фильтр работает только с функцией Поиск путей (Pathfinding).

Меню состоит из следующих элементов:

● Обновление графа (Refresh)

● Экспорт графа (Export Graph)

● Импорт графа (Import Graph)

● Загрузка данных

● Статус загрузки (View Upload Status)

● Изменение отображения графа (Change Layout Type)

● Настройки

● Информация о программе (About)

Рис. 2.16. Меню

Обновление графа (Refresh)

Нажатие на эту кнопку позволяет вернуть граф в исходное состояние, которое было получено при выполнении запроса.

Экспорт графа (Export Graph)

Кнопка в виде стрелки вверх позволяет экспортировать граф. BloodHound поддерживает два формата – в виде картинки PNG или в формате JSON.

Данный функционал полезен для вставки картинки в отчет, а JSON-файл можно передать для анализа графа.

Импорт графа (Import Graph)

Кнопка в виде стрелки вниз позволяет загрузить ранее сохраненный граф в виде JSON-файла, в результате чего будет отрисован граф, созданный ранее.

Информация

Импортировать граф можно даже в пустую базу или в базу с другими данными.

Загрузка данных (Upload Data)

При нажатии на кнопку в виде стрелки вверх в круге появляется окно, в котором указываются файлы, сгенерированные SharpHound. Обычно SharpHound формирует ZIP-архив, в котором находятся файлы, разделенные по классу объектов домена.

BloodHound автоматически распаковывает архив и преобразовывает JSON в Cypher-запросы, тем самым загружая данные.

Статус загрузки (View Upload Status)

Кнопка в виде списка показывает статус загрузки данных. При нажатии на кнопку Clear Finished статус удаляется.

Изменение отображения графа (Change Layout Type)

Иконка в виде графика позволяет изменять отображение графа. BloodHound предоставляет два вида отображения – Направленное (Directed) и Иерархическое (Hierarchical) (рис. 2.17–2.18).

Изменение типа позволяет лучше рассмотреть граф, и в некоторых случаях BloodHound выстраивает красивые цепочки.

Рис. 2.17. Направленное отображение графа

Рис. 2.18. Иерархическое отображение графа

Настройки (Settings)

При нажатии на кнопку Настройки появляется окно с настройками, их немного.

Рис. 2.19. Окно с настройкам

Кратко рассмотрим представленные настройки.

Порог свертывания узлов (Collapse Threshold). В BloodHound есть механизм, который группирует узлы, имеющие одинаковую связь (только одну) с другим узлом. Это позволяет уменьшить нагрузку на отображение графа, но при этом можно упустить какой-то узел. Применяется к Группам (Group), Контейнерам (Container) и Подразделениям (OU). Данный параметр имеет числовое значение, по умолчанию это 5, что означает – если будет пять узлов или больше, то они объединятся в одну группу. В этой группе появится значок количества объектов внутри группы. Значение 0 отключает эту функцию.

Отображение названия связи (Edge Lable Display) – режим отображения названия связи.

Отображение названия узла (Node Lable Display) – режим отображения названия узла.

Режим отображения узлов и связей может иметь следующие варианты:

● Пороговое отображение (Threshold Display) – название появляется или исчезает при изменении масштаба графа.

● Всегда показывать (Always Display) – название всегда отображается.

● Никогда не показывать (Never Display) – название никогда не отображается.

Вне зависимости от выбранного режима отображения название появится при наведении курсора мыши на узел.

Режим отладки запросов (Query Debug Node) – при включении данной опции все запросы отображаются в Raw Query. Это удобный вариант для обучения или отладки запросов Cypher.

Режим низкой детализации (Low Detail Mode) полезен для слабых машин, так как требует меньше ресурсов для отрисовки узлов. Узлы будут представлять собой только цветные круги.

Темный режим (Dark Mode) включает темный режим интерфейса.

Информация о программе (About)

Кнопка Информация о программе показывает окно с информацией о разработчиках и типе лицензии данной программы (рис. 2.20).

Рис. 2.20. Информация о программе

Рис. 2.21. Управление масштабом

Тут все просто: плюс увеличивает масштаб графа, минус – уменьшает, а кнопка в виде дома возвращает масштаб в исходное состояние. При этом если узлы перемещались, то они не будут возвращены в исходное состояние, в отличие от действия кнопки Обновление графа (Refresh).

Совет

Колесо мыши также можно использовать для изменения масштаба графа.

Данная форма позволяет вводить собственные запросы Cypher или отлаживать существующие. Не поддерживает многострочные запросы, в результате чего все многострочные запросы будут преобразованы в одну строку.

При нажатии правой клавишей мыши на узле появится окно управления данным узлом.

Рис. 2.22. Окно управления узлом

Данное окно содержит несколько интересных функций, которые могут пригодиться во время выполнения работ. Поэтому кратко их рассмотрим.

Установить в качестве начального узла (Set as Starting Node) – при выборе этого варианта в Форме поиска появится имя выбранного узла.

Установить в качестве конечного узла (Set as Ending Node) – при выборе этого варианта откроется форма Поиск путей (Pathfinding) и в конечном узле появится имя выбранного узла.

Построить короткие пути до узла (Shortest Paths to Here) – позволяет получить все короткие пути до выбранного узла.

Построить короткие пути от скомпрометированных узлов до указанного узла (Shortest Paths to Here from Owned) – данный вариант позволяет получить короткие пути от всех скомпрометированных узлов (у которых свойство owned имеет значение TRUE) до выбранного узла.

Изменить свойства узла (Edit Node) – нажатие на эту кнопку открывает окно, позволяющее изменять существующие свойства или добавлять новые.

Рис. 2.23. Форма изменения свойств узла

Пометить узел как скомпрометированный (Mark as Owned) – устанавливает свойству узла owned значение TRUE. Кроме изменения свойства owned на узле в правом нижнем углу появится значок в виде черепа. Если в свойстве owned уже установлено значение TRUE, тогда вариантом будет Снять метку со скомпрометированного узла (Unmark as Owned)

Сноски