AD CS Account Persistence

Bu, https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf adresindeki harika araştırmanın makine sürekliliği bölümlerinin küçük bir özetidir.

Sertifikalar ile Aktif Kullanıcı Kimlik Bilgisi Hırsızlığını Anlamak – PERSIST1

Bir kullanıcının alan kimlik doğrulamasına izin veren bir sertifika talep edebileceği bir senaryoda, bir saldırganın bu sertifikayı talep etme ve çalma fırsatı vardır, böylece bir ağda sürekliliği sağlama imkanı bulur. Varsayılan olarak, Active Directory'deki User şablonu bu tür taleplere izin verir, ancak bazen devre dışı bırakılabilir.

Certify adlı bir araç kullanarak, sürekli erişimi sağlayan geçerli sertifikaları aramak mümkündür:

Certify.exe find /clientauth

Bir sertifikanın gücünün, sertifikanın ait olduğu kullanıcı olarak kimlik doğrulama yeteneğinde yattığı vurgulanmaktadır; bu, sertifika geçerli olduğu sürece, herhangi bir şifre değişikliğinden bağımsızdır.

Sertifikalar, certmgr.msc kullanarak grafik arayüz üzerinden veya certreq.exe ile komut satırından talep edilebilir. Certify ile, bir sertifika talep etme süreci aşağıdaki gibi basitleştirilmiştir:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

Başarılı bir istek üzerine, .pem formatında bir sertifika ve ona ait özel anahtar oluşturulur. Bunu Windows sistemlerinde kullanılabilir bir .pfx dosyasına dönüştürmek için aşağıdaki komut kullanılır:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfx dosyası daha sonra bir hedef sisteme yüklenebilir ve kullanıcının bir Ticket Granting Ticket (TGT) talep etmesi için Rubeus adlı bir araçla kullanılabilir, saldırganın erişimini sertifika geçerli olduğu sürece (genellikle bir yıl) uzatır:

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

Önemli bir uyarı, bu tekniğin, THEFT5 bölümünde belirtilen başka bir yöntemle birleştirildiğinde, bir saldırganın Yerel Güvenlik Otoritesi Alt Sistemi Hizmeti (LSASS) ile etkileşime girmeden ve yükseltilmemiş bir bağlamdan bir hesabın NTLM hash'ini sürekli olarak elde etmesine olanak tanıdığını paylaşmaktadır. Bu, uzun vadeli kimlik bilgisi hırsızlığı için daha gizli bir yöntem sunar.

Sertifikalar ile Makine Sürekliliği Elde Etme - PERSIST2

Başka bir yöntem, bir tehlikeye atılmış sistemin makine hesabını bir sertifika için kaydetmektir; bu, böyle eylemlere izin veren varsayılan Machine şablonunu kullanır. Bir saldırgan bir sistemde yükseltilmiş ayrıcalıklar elde ederse, SYSTEM hesabını kullanarak sertifika talep edebilir ve bu da bir tür süreklilik sağlar:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

Bu erişim, saldırgana makine hesabı olarak Kerberos'a kimlik doğrulama yapma ve S4U2Self kullanarak host üzerindeki herhangi bir hizmet için Kerberos hizmet biletleri alma yetkisi verir, bu da saldırgana makineye kalıcı erişim sağlar.

Sertifika Yenileme ile Kalıcılığı Uzatma - PERSIST3

Son yöntem, sertifika şablonlarının geçerlilik ve yenileme sürelerini kullanmayı içerir. Bir sertifikayı süresi dolmadan önce yenileyerek, bir saldırgan, Sertifika Otoritesi (CA) sunucusunda iz bırakabilecek ek bilet kaydı gereksinimi olmadan Active Directory'ye kimlik doğrulamasını sürdürebilir.

Bu yaklaşım, CA sunucusuyla daha az etkileşimle tespit edilme riskini en aza indirerek ve yöneticileri ihlale dair uyaran nesnelerin üretilmesini önleyerek uzatılmış kalıcılık yöntemi sağlar.