AD_Miner: Active Directory audit tool

ADMiner

ADMiner is an Active Directory audit tool that leverages cypher queries to crunch data from the BloodHound graph database (neo4j) and gives you a global overview of existing weaknesses through a web-based static report, including detailed listing, dynamic graphs, key indicators history, along with risk ratings.

You can also observe indicators over time to help measure mitigation efficiency.

Implemented controls

The following provides a list controls that have already been implemented in AD Miner :

Dormant accounts Tier 0 sessions violation Control path cross domain from DA to DA
Ghost computers Machine accounts with admin privs Control paths to GPOs
Accounts without password expiration Obsolete OS Control paths to servers
Accounts with old passwords Inadequate number of domain admins Control paths to OU
Accounts with clear-text passwords RDP access Control paths to GMSA passwords
Kerberoastable accounts Domain functional level Control path to AdminSDHolder container
AS-REP Roastable accounts Users with admin privs Users with path to DNS Admins
Accounts with SID history Machine accounts with high privs ACL anomalies on group objects
LAPS status Non tier 0 with DCSync capabilities Objects with path to an Operator Member
LAPS access Unconstrained delegations ADCS local admin privs
KRBTGT password age Constrained delegations Empty groups/OU
DC Shadow to DA Role-based constrained delegations
DC Shadow to all Control paths to domain admins

Install

git clone https://github.com/Mazars-Tech/AD_Miner.git
pip install -r requirements.txt

Use

[pastacode lang=”markup” message=”” highlight=”” provider=”manual” manual=”-h%2C%20–help%20%20%20%20%20%20%20%20%20%20%20%20%20%20Show%20this%20help%20message%20and%20exit%0A-b%2C%20–bolt%20%20%20%20%20%20%20%20%20%20%20%20%20%20Neo4j%20bolt%20connection%20(default%3A%20bolt%3A%2F%2F127.0.0.1%3A7687)%0A-u%2C%20–username%20%20%20%20%20%20%20%20%20%20Neo4j%20username%20(default%20%3A%20neo4j)%0A-p%2C%20–password%20%20%20%20%20%20%20%20%20%20Neo4j%20password%20(default%20%3A%20neo5j)%0A-e%2C%20–extract_date%20%20%20%20%20%20Extract%20date%20(e.g.%2C%2020220131).%20Default%3A%20last%20logon%20date%0A-r%2C%20–renewal_password%20%20Password%20renewal%20policy%20in%20days.%20Default%3A%2090%0A-a%2C%20–azure%20%20%20%20%20%20%20%20%20%20%20%20%20Use%20Azure%20relations%0A-c%2C%20–cache%20%20%20%20%20%20%20%20%20%20%20%20%20Use%20local%20file%20for%20neo4j%20data%0A-l%2C%20–level%20%20%20%20%20%20%20%20%20%20%20%20%20Recursive%20level%20for%20path%20queries%0A-cf%2C%20–cache_prefix%20%20%20%20%20Cache%20file%20to%20use%20(in%20case%20of%20multiple%20company%20cache%20files)%0A-ch%2C%20–nb_chunks%20%20%20%20%20%20%20%20Number%20of%20chunks%20for%20parallel%20neo4j%20requests.%20Default%20%3A%20number%20of%20CPU%0A-co%2C%20–nb_cores%20%20%20%20%20%20%20%20%20Number%20of%20cores%20for%20parallel%20neo4j%20requests.%20Default%20%3A%20number%20of%20CPU%0A–rdp%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20Include%20the%20CanRDP%20edge%20in%20graphs%0A–evolution%20%20%20%20%20%20%20%20%20%20%20%20%20Evolution%20over%20time%20%3A%20location%20of%20json%20data%20files.%20ex%20%3A%20′..%2F..%2Ftests%2F’%0A–cluster%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20Nodes%20of%20the%20cluster%20to%20run%20parallel%20neo4j%20queries.%20ex%20%3A%20host1%3Aport1%3AnCore1%2Chost2%3Aport2%3AnCore2%2C…”/]

Copyright (C) 2023 Mazars Cybersecurity Audit & Advisory team

Source: https://github.com/Mazars-Tech/

Support Our Threat Intelligence

If you find our technology report and cybersecurity news helpful, consider supporting our work.

Crypto QR Code
USDT (TRC20):
TN8BdV8cp4T1Cd28gK9qTAnZknzzuwyUtm
USDT (ERC20):
0x3725e1a7d3bc5765499fa6aaafe307fabcd75bce