🍯 ADTrapper — инструмент для обнаружения атак в Active Directory с помощью honeypot-аккаунтов

ADTrapper — open source-инструмент для обнаружения атак внутри инфраструктуры Microsoft Active Directory. Он создаёт honeypot-объекты и ловушки в AD, которые позволяют выявлять злоумышленников во время разведки, lateral movement и попыток повышения привилегий.

Идея инструмента проста: создать в каталоге приманки, которые выглядят как реальные учётные записи или ресурсы. Любая попытка взаимодействия с такими объектами практически всегда означает подозрительную активность.

🪧 Основные возможности ADTrapper
▶️ Honeypot-учётные записи — создание ловушек в Active Directory для обнаружения злоумышленников.
▶️ Обнаружение reconnaissance-активности — выявляет попытки сканирования и enumeration AD.
▶️ Отслеживание lateral movement — реагирует на попытки использования trap-учёток.
▶️ Интеграция с логированием — события можно отправлять в SIEM или системы мониторинга.
▶️ Минимальное влияние на инфраструктуру — ловушки не мешают работе пользователей.

🕸 Как работает ADTrapper
ADTrapper разворачивает специальные honeypot-объекты внутри Active Directory:
⏺️фальшивые сервисные аккаунты
⏺️приманки-администраторы
⏺️ложные ресурсы или группы

Когда злоумышленник выполняет разведку например через:
⏺️BloodHound
⏺️LDAP enumeration
⏺️AD reconnaissance
он может обнаружить эти объекты.

Любое взаимодействие с ними генерирует событие безопасности, которое можно использовать для обнаружения атаки.

💻 Базовый сценарий использования
Клонирование репозитория

git clone https://github.com/MHaggis/ADTrapper.git
cd ADTrapper
cp env.example .env

Запуск инструмента

./deploy.sh

docker-compose up -d
docker-compose exec -T database psql -U postgres < supabase/migrations/0001_simple_setup.sql

После запуска веб-сервис будет доступен по адресу http://localhost:3000

#activedirectory #blueteam #defense #honeypot #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🕸LogonTracer

Инструмент для расследования инцидентов несанкционированного входа в систему, позволяющий визуализировать и анализировать журналы событий Windows Active Directory. Он сопоставляет имя хоста (или IP-адрес) и имя учетной записи, указанные в событиях, связанных с входом в систему, и отображает их в виде графов. Таким образом можно увидеть, с какой учетной записи и с какого хоста была предпринята попытка входа.

📐Позволяет визуализировать следующие идентификаторы событий, связанных со входом в Windows:
📉4624 — Успешный вход в систему;
📉4625 — Ошибка входа в систему;
📉4662 — Выполнена операция над объектом;
📉4672 — Назначены специальные привилегии;
📉4719 — Изменена политика аудита системы;
📉4720 — Создана учётная запись пользователя;
📉4726 — Удалена учётная запись пользователя;
📉4728 / 4732 / 4756 — Пользователь добавлен в защищённую группу;
📉4729 / 4733 / 4757 — Пользователь удалён из защищённой группы;
📉4768 — Аутентификация Kerberos (запрос TGT);
📉4769 — Сервисный билет Kerberos (запрос ST);
📉4776 — Аутентификация NTLM;
📉5137 — Создан объект службы каталогов;
🖱5141 — Удалён объект службы каталогов.

Включает в себя механизм анализа на основе искусственного интеллекта с использованием моделей OpenAI GPT для интеллектуального обнаружения угроз в дополнение к традиционным подходам, основанным на правилах:
➡️Анализ шаблонов безопасности — автоматическая интерпретация результатов графовых запросов и оценка рисков с помощью сопоставления тактик MITRE ATT&CK;
➡️Автономный агент на основе больших языковых моделей — итеративный ИИ-агент, который самостоятельно генерирует и выполняет запросы Cypher к графу Neo4j для выявления угроз без участия человека;
➡️Сигма-правила, созданные ИИ — преобразование результатов анализа ИИ в развертываемые сигма-правила обнаружения;
➡️Поддержка нескольких языков — ответы ИИ могут генерироваться на английском, японском или французском языках.

Дополнительный анализ
1️⃣ LogonTracer использует PageRank (алгоритм, используемый поисковой системой Google для ранжирования веб-страниц в результатах поиска), скрытую марковскую модель и ChangeFinder для обнаружения вредоносных хостов и учетных записей в журналах событий.

2️⃣ С помощью LogonTracer можно также просматривать журналы событий в хронологическом порядке.

⬇️Установка
Клонируем репозиторий и устанавливаем зависимости.

git clone https://github.com/JPCERTCC/LogonTracer.git
cd LogonTracer
pip3 install -r requirements.txt

Далее необходимо скачать и запустить Neo4j и отредактировать файл конфигурации vi config/config.yml.

settings:
logontracer:
WEB_PORT: "8080"
default_user: "neo4j" # Имя пользователя Neo4j для учетной записи LogonTracer по умолчанию
default_password: "password" # Измените его перед первым запуском

neo4j:
NEO4J_USER: "neo4j"
NEO4J_PASSWORD: "password" # Ваш пароль для Neo4j
NEO4J_SERVER: "localhost"
WS_PORT: "7687"

После этого остается запустить приложение командой python3 logontracer.py --run и открыть его по адресу http://localhost:8080.

#defense #tools #SOC

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером