AD CS Account Persistence
Це невеликий підсумок глав про збереження машини з чудового дослідження з https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
Розуміння крадіжки облікових даних активного користувача за допомогою сертифікатів – PERSIST1
У сценарії, де сертифікат, що дозволяє автентифікацію домену, може бути запитаний користувачем, зловмисник має можливість запросити та вкрасти цей сертифікат, щоб зберегти постійний доступ до мережі. За замовчуванням шаблон User
в Active Directory дозволяє такі запити, хоча іноді він може бути вимкнений.
Використовуючи інструмент під назвою Certify, можна шукати дійсні сертифікати, які забезпечують постійний доступ:
Підкреслюється, що сила сертифіката полягає в його здатності автентифікуватися як користувач, якому він належить, незалежно від будь-яких змін пароля, поки сертифікат залишається дійсним.
Сертифікати можна запитувати через графічний інтерфейс, використовуючи certmgr.msc
, або через командний рядок за допомогою certreq.exe
. З Certify процес запиту сертифіката спрощується наступним чином:
Після успішного запиту, сертифікат разом із його приватним ключем генерується у форматі .pem
. Щоб перетворити це в файл .pfx
, який можна використовувати на системах Windows, використовується наступна команда:
Файл .pfx
потім може бути завантажений на цільову систему і використаний з інструментом під назвою Rubeus для запиту квитка на отримання квитка (TGT) для користувача, продовжуючи доступ зловмисника на стільки, наскільки сертифікат є дійсним (зазвичай один рік):
Важливе попередження стосується того, як ця техніка, в поєднанні з іншим методом, викладеним у розділі THEFT5, дозволяє зловмиснику постійно отримувати NTLM hash облікового запису без взаємодії з Службою підсистеми локальної безпеки (LSASS) і з не підвищеного контексту, що забезпечує більш прихований метод для тривалого викрадення облікових даних.
Отримання постійності машини за допомогою сертифікатів - PERSIST2
Інший метод полягає в реєстрації облікового запису машини скомпрометованої системи для сертифіката, використовуючи шаблон за замовчуванням Machine
, який дозволяє такі дії. Якщо зловмисник отримує підвищені привілеї на системі, він може використовувати обліковий запис SYSTEM для запиту сертифікатів, що забезпечує форму постійності:
Цей доступ дозволяє зловмиснику автентифікуватися в Kerberos як обліковий запис машини та використовувати S4U2Self для отримання квитків сервісу Kerberos для будь-якого сервісу на хості, ефективно надаючи зловмиснику постійний доступ до машини.
Розширення постійності через оновлення сертифікатів - PERSIST3
Останній обговорюваний метод передбачає використання термінів дії та періодів оновлення шаблонів сертифікатів. Оновлюючи сертифікат до його закінчення, зловмисник може підтримувати автентифікацію в Active Directory без необхідності додаткових реєстрацій квитків, що може залишити сліди на сервері сертифікаційного центру (CA).
Цей підхід дозволяє використовувати метод розширеної постійності, мінімізуючи ризик виявлення через меншу кількість взаємодій з сервером CA та уникаючи генерації артефактів, які можуть сповістити адміністраторів про вторгнення.
Last updated