Mit BloodHound können sie das Active Directory (AD) visuell darstellen und auch Konten finden, die evtl. zu viel Rechte haben oder gar manipulationen am AD erkennen – z.B. nach einem Trojanerbefall wie z.B. DLTMiner.
Beachten Sie bitte, das Virenscanner den Download oder die Ausführung blockieren können und ggf. angepasst werden müssen. Nutzen Sie einen AD angebundenen Computer.
Um BloodHound zu installieren laden sie bitte erst Neo4j herunter und installieren sie dies: https://neo4j.com/download-neo4j-now (oder die kostenlose Comunity Edition unter https://neo4j.com/download-thanks/?edition=community&release=3.5.12&flavour=winzip)
Nach der Installation starten sie Neo4j, löschen Sie das Demoprojekt und erstellen ein neues Projekt mit dem Namen BloodHound, vergeben sie ein Kennwort. Anschließen starten sie diese und erstellen eine neue Lokale Datenbank (New > Local DBMS).
Anschließend laden Sie bitte BloodHound herunter unter https://github.com/BloodHoundAD/BloodHound/releases.
Erstellen Sie unter C: einen Ordner Forensik und extrahieren dorthin alle Dateien.
Laden sie nun SharpHound.exe herunter unter https://github.com/BloodHoundAD/BloodHound/tree/master/Collectors bzw. https://github.com/BloodHoundAD/BloodHound/blob/master/Collectors/SharpHound.exe nach C:\Forensik.
Starten Sie eine privilegierte Shell (cmd.exe > rechte Maustaste > Als Administrator ausführen) und wechseln nach C:\Forensik und starten sie SharpHound.exe -c all
Starten Sie nun BloodHound mit den Anmeldenamen neo4j und dem Kennwort das sie zuvor angegeben haben.
Es wird eine Zipdatei erstellt mit mehreren JSON Dateien.
Entpacken Sie diese und laden diese hoch (im BloodHound rechts auf Upload Data). Danach bitte die Ansicht aktualisieren.
Geben Sie den AD Namen ein und klicken auf Analysis. Mit den Abfragen Find all Domain Admins, Find Dangerours Rights for Dmain Users Groups und List all Kerberoastable Accounts finden sie die interessantesten Informaitonen. Hier in dem Demo sind nur wenige User enthalten, deswegen ist hier nicht viel zu sehen.
