关于FarsightAD 

FarsightAD是一款功能强大的PowerShell脚本，该工具可以帮助广大研究人员在活动目录域遭受到渗透攻击之后，检测到由攻击者部署的持久化机制。

该脚本能够生成并导出各种对象及其属性的CSV/JSON文件，并附带从元数据副本中获取到的时间戳信息。除此之外，如果使用了复制权限执行该工具的话，则可以利用目录复制服务（DRS）协议来检测完全或部分隐藏的对象。

 工具下载 

广大研究人员可以使用下列命令将该项目源码克隆至本地

git clone https://github.com/Qazeer/FarsightAD.git

 工具要求 

FarsightAD需要PowerShell7以及对应版本的ActiveDirectory模块。在Windows 10/11操作系统上，可以通过可选功能来安装该模块。

如果安装成功，则可以使用下列命令来更新该模块：

Add-WindowsCapability -Online -Name Rsat.ServerManager.Tools~~~~0.0.1.0

（向右滑动、查看更多）

如果模块成功更新完成，那么Get-Command Get-ADObject则会返回下列信息：

CommandType     Name                                               Version    Source-----------     ----                                               -------    ------Cmdlet          Get-ADObject                                       1.0.X.X    ActiveDirectory

（向右滑动、查看更多）

 工具下载 

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Qazeer/FarsightAD.git

 工具基础使用 

. .\FarsightAD.ps1Invoke-ADHunting [-Server <DC_IP | DC_HOSTNAME>] [-Credential <PS_CREDENTIAL>] [-ADDriveName <AD_DRIVE_NAME>] [-OutputFolder <OUTPUT_FOLDER>] [-ExportType <CSV | JSON>]

（向右滑动、查看更多）

 许可证协议 

 项目地址 

参考资料：

https://github.com/Qazeer/FarsightAD/blob/main/SANS_DFIR_Summit_2022-Hunting_for_Active_Directory_persistence-v1.2.pdf

https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools

https://github.com/vletoux/MakeMeEnterpriseAdmin

https://github.com/gentilkiwi/mimikatz

https://github.com/b4rtik/SharpKatz

https://www.powershellgallery.com/packages/ADComputerKeys/1.0.0/Content/ADComputerKeys.psm1

https://posts.specterops.io/certified-pre-owned-d95910965cd2

https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/

https://github.com/adbertram/Random-PowerShell-Work/blob/master/ActiveDirectory/ActiveDirectorySPN.psm1

https://twitter.com/_Qazeer