域内委派攻击的技术背景与核心原理

域内委派攻击（Intra-Domain Delegation Attack）是Active Directory（AD）环境中一种典型的横向移动技术，其核心在于攻击者通过滥用服务账户的委派权限，实现从低权限账户到高权限资源的非法访问。这种攻击方式之所以危险，是因为它利用了AD环境中合法的信任机制，使得攻击行为更具隐蔽性。

委派机制的合法用途与安全风险

在AD环境中，委派机制的设计初衷是为了简化跨服务身份验证流程。例如，当Web应用需要访问数据库时，可通过服务账户A委派用户身份给服务账户B，从而避免用户重复输入凭证。这种机制在提升用户体验的同时，也引入了安全风险：若服务账户的委派权限配置不当，攻击者可能通过劫持该账户实现权限提升。

从技术实现看，委派分为三类：非约束委派（Unconstrained Delegation）、约束委派（Constrained Delegation）和基于资源的约束委派（Resource-Based Constrained Delegation, RBCD）。其中，非约束委派允许服务账户接收任何服务的票据，风险最高；约束委派通过SPN（Service Principal Name）限制委派范围，安全性稍高；RBCD则将委派控制权交给资源所有者，是微软推荐的现代委派方式。

攻击路径分析：从初始访问到权限提升

1. 初始访问与情报收集

攻击者通常通过钓鱼邮件、漏洞利用或已入侵设备获得域内普通用户权限。随后，利用BloodHound等工具进行域环境测绘，识别具有委派权限的服务账户。例如，通过PowerShell命令Get-ADUser -Filter {UserPrincipalName -like "*$*"} -Properties msDS-AllowedToDelegateTo可查找配置了约束委派的服务账户。

2. 票据劫持与权限滥用

在非约束委派场景中，攻击者可通过中间人攻击或直接控制服务账户主机，获取用户的TGS（Ticket Granting Service）票据。例如，使用Mimikatz的kerberos::list命令导出内存中的票据，再通过kerberos::ptt将票据注入当前会话，从而以被委派用户身份访问目标服务。

对于约束委派，攻击者需构造特定的SPN欺骗场景。例如，若服务账户A被允许委派给SPN为MSSQLSvc/db.example.com的服务账户B，攻击者可伪造该SPN的请求，诱导服务账户A发出恶意委派请求。

3. RBCD的滥用与防御绕过

RBCD虽提升了安全性，但攻击者仍可通过修改服务账户的msDS-AllowedToActOnBehalfOfOtherIdentity属性实现委派。例如，使用PowerView的Add-DomainObjectAcl命令修改该属性，将恶意计算机账户添加为合法委派源。

检测方法：从日志分析到行为监控

1. 事件日志分析

关键事件ID包括：

• 4769（Kerberos服务票据请求）：频繁的TGS请求可能指示票据劫持
• 4624（登录成功）：结合源IP和登录类型，识别异常登录
• 4738（用户账户更改）：委派权限修改操作

建议配置SIEM系统实时监控这些事件，并设置基线阈值。例如，若某服务账户每小时发起超过10次TGS请求，可能触发警报。

2. 高级检测技术

• 票据异常检测：通过分析票据的生存期（Lifetime）和加密类型（Encryption Type），识别非正常票据。例如，AES256加密的票据若来自使用RC4的老旧系统，可能为伪造票据。
• 委派路径分析：使用BloodHound的“Find Shortest Path to Domain Admin”功能，识别从当前权限到域管的委派路径。
• 异常SPN检测：监控新注册的SPN，尤其是与关键服务（如SQL、Exchange）相关的SPN。

防御策略：从权限管控到零信任架构

1. 最小权限原则

• 禁用非约束委派：除非绝对必要，否则禁用所有服务账户的非约束委派权限。可通过AD用户和计算机控制台修改账户属性实现。
• 约束委派精细化：为约束委派配置严格的SPN列表，避免使用通配符（如*）。
• RBCD优先：新部署服务优先使用RBCD，并限制可委派的计算机账户范围。

2. 账户与凭证保护

• 服务账户隔离：为不同服务分配独立的服务账户，避免权限共享。
• 强密码策略：服务账户密码长度至少24位，包含大小写字母、数字和特殊字符。
• 定期轮换：每90天轮换一次服务账户密码，并更新所有依赖该账户的应用配置。

3. 零信任架构实施

• 持续验证：实施JIT（Just-In-Time）访问控制，服务账户权限仅在需要时授予，并在使用后立即撤销。
• 多因素认证：对高敏感操作（如委派权限修改）要求多因素认证。
• 微隔离：通过网络分段限制服务账户的通信范围，防止横向移动。

4. 监控与响应

• 实时告警：配置SIEM系统对可疑委派行为实时告警，如来自非常用IP的TGS请求。
• 狩猎活动：定期执行威胁狩猎，检查是否存在未授权的委派权限修改。
• 快速响应：建立应急响应流程，一旦发现委派攻击，立即隔离受影响账户，并审计所有近期委派操作。

实际案例：某企业域内委派攻击事件复盘

攻击过程

某金融企业AD环境中，攻击者通过钓鱼邮件获取一名普通员工的域账号。利用该账号，攻击者使用BloodHound发现一台配置了非约束委派的文件服务器。通过中间人攻击，攻击者劫持了该服务器的TGS票据，进而以域管理员身份访问了核心数据库。

防御失效原因

1. 非约束委派未禁用：文件服务器因兼容旧应用启用了非约束委派。
2. 日志监控缺失：未对4769事件设置告警阈值，导致票据劫持未被及时发现。
3. 服务账户管理混乱：多个服务共享同一账户，权限扩大化。

改进措施

1. 全面禁用非约束委派：对所有服务账户进行审计，禁用非约束委派。
2. 部署高级检测：引入UEBA（用户实体行为分析）系统，识别异常委派行为。
3. 服务账户重构：为每个服务分配独立账户，并实施最小权限。

结语：构建弹性的域内委派安全体系

域内委派攻击的本质是利用AD的信任机制实现权限提升，其防御需从技术、管理和流程三方面综合施策。企业应定期进行AD安全评估，识别并修复委派权限配置缺陷；同时，采用零信任架构，将信任从网络边界转移到身份和上下文验证。通过持续监控、快速响应和安全意识培训，构建弹性的域内委派安全体系，有效抵御此类攻击。