AD CS Account Persistence

Це невеликий підсумок глав про збереження на машині з чудового дослідження з https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

Розуміння крадіжки облікових даних активного користувача за допомогою сертифікатів – PERSIST1

У сценарії, де сертифікат, що дозволяє автентифікацію домену, може бути запитаний користувачем, зловмисник має можливість запросити та вкрасти цей сертифікат, щоб зберегти постійний доступ до мережі. За замовчуванням шаблон User в Active Directory дозволяє такі запити, хоча іноді він може бути вимкнений.

Використовуючи інструмент під назвою Certify, можна шукати дійсні сертифікати, які забезпечують постійний доступ:

Certify.exe find /clientauth

Підкреслюється, що сила сертифіката полягає в його здатності автентифікуватися як користувач, якому він належить, незалежно від будь-яких змін пароля, поки сертифікат залишається дійсним.

Сертифікати можна запитувати через графічний інтерфейс, використовуючи certmgr.msc, або через командний рядок за допомогою certreq.exe. З Certify процес запиту сертифіката спрощується наступним чином:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

Після успішного запиту, сертифікат разом із його приватним ключем генерується у форматі .pem. Щоб перетворити це у файл .pfx, який можна використовувати на системах Windows, використовується наступна команда:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

Файл .pfx потім може бути завантажений на цільову систему і використаний з інструментом під назвою Rubeus для запиту квитка на отримання квитка (TGT) для користувача, продовжуючи доступ зловмисника на стільки, наскільки сертифікат є дійсним (зазвичай один рік):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

Важливе попередження стосується того, як ця техніка, в поєднанні з іншим методом, викладеним у розділі THEFT5, дозволяє зловмиснику постійно отримувати NTLM hash облікового запису без взаємодії з Службою підсистеми локальної безпеки (LSASS) і з не підвищеного контексту, що забезпечує більш прихований метод для тривалого викрадення облікових даних.

Отримання постійності машини за допомогою сертифікатів - PERSIST2

Інший метод полягає в реєстрації облікового запису машини скомпрометованої системи для сертифіката, використовуючи шаблон за замовчуванням Machine, який дозволяє такі дії. Якщо зловмисник отримує підвищені привілеї на системі, він може використовувати обліковий запис SYSTEM для запиту сертифікатів, що забезпечує форму постійності:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

Цей доступ дозволяє зловмиснику автентифікуватися в Kerberos як обліковий запис машини та використовувати S4U2Self для отримання квитків сервісу Kerberos для будь-якого сервісу на хості, ефективно надаючи зловмиснику постійний доступ до машини.

Розширення постійності через оновлення сертифікатів - PERSIST3

Останній обговорюваний метод полягає у використанні термінів дії та періодів оновлення шаблонів сертифікатів. Оновлюючи сертифікат до його закінчення терміну дії, зловмисник може підтримувати автентифікацію в Active Directory без необхідності додаткових реєстрацій квитків, що може залишити сліди на сервері сертифікаційного центру (CA).

Цей підхід дозволяє використовувати метод розширеної постійності, мінімізуючи ризик виявлення через меншу кількість взаємодій з сервером CA та уникаючи генерації артефактів, які можуть сповістити адміністраторів про вторгнення.