AD CS Account Persistence
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
これは、https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdfの素晴らしい研究のマシン持続性章の小さな要約です。
ドメイン認証を許可する証明書がユーザーによって要求できるシナリオでは、攻撃者はこの証明書を要求し、盗む機会を得て、ネットワーク上で持続性を維持することができます。デフォルトでは、Active DirectoryのUser
テンプレートはそのような要求を許可しますが、時には無効にされることもあります。
Certifyというツールを使用すると、持続的なアクセスを可能にする有効な証明書を検索できます:
証明書の力は、その証明書が属するユーザーとして認証する能力にあることが強調されています。証明書が有効である限り、パスワードの変更に関係なく認証が可能です。
証明書は、certmgr.msc
を使用したグラフィカルインターフェースまたはcertreq.exe
を使用したコマンドラインを通じて要求できます。Certifyを使用すると、証明書を要求するプロセスが次のように簡素化されます:
成功したリクエストにより、証明書とその秘密鍵が .pem
形式で生成されます。これをWindowsシステムで使用可能な .pfx
ファイルに変換するには、次のコマンドを使用します:
.pfx
ファイルはターゲットシステムにアップロードされ、Rubeusというツールを使用してユーザーのチケットグラントチケット(TGT)を要求するために使用され、攻撃者のアクセスを証明書が有効である限り(通常は1年)延長します:
重要な警告があります。この技術は、THEFT5 セクションで概説されている別の方法と組み合わせることで、攻撃者がローカル セキュリティ権限サブシステム サービス (LSASS) と対話することなく、非特権コンテキストからアカウントの NTLM ハッシュ を持続的に取得できることを示しています。これにより、長期的な資格情報の盗難に対するよりステルスな方法が提供されます。
別の方法は、妥協されたシステムのマシン アカウントを証明書に登録することです。これは、そのようなアクションを許可するデフォルトの Machine
テンプレートを利用します。攻撃者がシステム上で特権を取得すると、SYSTEM アカウントを使用して証明書を要求でき、持続性の一形態を提供します。
このアクセスにより、攻撃者はマシンアカウントとしてKerberosに認証し、S4U2Selfを利用してホスト上の任意のサービスのKerberosサービスチケットを取得でき、実質的に攻撃者にマシンへの持続的なアクセスを付与します。
最後に議論される方法は、証明書テンプレートの有効性と更新期間を利用することです。証明書が期限切れになる前に更新することで、攻撃者は追加のチケット登録を必要とせずにActive Directoryへの認証を維持でき、これにより証明書認証局(CA)サーバーに痕跡を残すことを避けられます。
このアプローチは、CAサーバーとの相互作用を最小限に抑え、侵入を管理者に警告する可能性のあるアーティファクトの生成を回避することで、拡張された持続性の方法を提供します。