Hierdie is 'n klein opsomming van die volhardingshoofstukke van die fantastiese navorsing van https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

Begrip van aktiewe gebruikersgeloofdiefstal met sertifikate - PERSIST1

In 'n scenario waar 'n sertifikaat wat domeinverifikasie moontlik maak deur 'n gebruiker aangevra kan word, het 'n aanvaller die geleentheid om hierdie sertifikaat te versoek en steel om volharding op 'n netwerk te behou. Standaard laat die User-sjabloon in Active Directory sulke versoek toe, alhoewel dit soms gedeaktiveer kan word.

Met behulp van 'n hulpmiddel genaamd Certify, kan 'n persoon soek na geldige sertifikate wat volgehoue toegang moontlik maak:

Certify.exe find /clientauth

Dit word beklemtoon dat 'n sertifikaat se krag lê in sy vermoë om as die gebruiker te verifieer waartoe dit behoort, ongeag enige wagwoordveranderinge, solank die sertifikaat geldig bly.

Sertifikate kan aangevra word deur middel van 'n grafiese koppelvlak met behulp van certmgr.msc of deur die opdraglyn met certreq.exe. Met Certify word die proses om 'n sertifikaat aan te vra vereenvoudig soos volg:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

Na 'n suksesvolle versoek word 'n sertifikaat saam met sy privaatsleutel in .pem-formaat gegenereer. Om dit na 'n .pfx-lêer om te skakel, wat bruikbaar is op Windows-stelsels, word die volgende opdrag gebruik:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

Die .pfx lêer kan dan op 'n teikensisteem gelaai word en gebruik word saam met 'n instrument genaamd Rubeus om 'n Ticket Granting Ticket (TGT) vir die gebruiker aan te vra, wat die aanvaller se toegang verleng solank die sertifikaat geldig is (gewoonlik een jaar):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

'n Belangrike waarskuwing word gedeel oor hoe hierdie tegniek, in kombinasie met 'n ander metode wat in die THEFT5-afdeling uitgelig word, 'n aanvaller in staat stel om volhardend 'n rekening se NTLM-hash te verkry sonder om met die Local Security Authority Subsystem Service (LSASS) te kommunikeer, en vanuit 'n nie-verhoogde konteks, wat 'n sluwer metode bied vir langtermyn-geloofsbrieffrustrasie.

Verkryging van Masjien Volharding met Sertifikate - PERSIST2

'n Ander metode behels die inskrywing van 'n gekompromitteerde stelsel se masjienrekening vir 'n sertifikaat, deur gebruik te maak van die verstek Machine-sjabloon wat sulke aksies toelaat. As 'n aanvaller verhoogde bevoegdhede op 'n stelsel verwerf, kan hulle die SYSTEM-rekening gebruik om sertifikate aan te vra, wat 'n vorm van volharding bied:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

Hierdie toegang stel die aanvaller in staat om te verifieer na Kerberos as die masjienrekening en S4U2Self te gebruik om Kerberos-dienskaartjies vir enige diens op die gasheer te verkry, wat die aanvaller effektiewe volgehoue toegang tot die masjien verleen.

Uitbreiding van Volgehoue Toegang deur Sertifikaatvernieuwing - PERSIST3

Die laaste metode wat bespreek word, behels die benutting van die geldigheid en vernieuwingsperiodes van sertifikaatsjablone. Deur 'n sertifikaat voor sy verval te **vernieu, kan 'n aanvaller verifikasie behou tot Active Directory sonder die nodigheid van addisionele kaartinskrywings, wat spore op die Sertifikaatowerheid (CA) bediener kan agterlaat.

Hierdie benadering maak voorsiening vir 'n uitgebreide volgehoue toegang-metode, wat die risiko van opsporing verminder deur minder interaksies met die CA-bediener en die voorkoming van die generering van artefakte wat administrateurs op die indringing kan attent maak.