Este es un pequeño resumen de los capítulos de persistencia de máquina de la increíble investigación de https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

Comprendiendo el Robo de Credenciales de Usuario Activo con Certificados – PERSIST1

En un escenario donde un usuario puede solicitar un certificado que permita la autenticación de dominio, un atacante tiene la oportunidad de solicitar y robar este certificado para mantener la persistencia en una red. Por defecto, la plantilla User en Active Directory permite tales solicitudes, aunque a veces puede estar deshabilitada.

Utilizando una herramienta llamada Certify, uno puede buscar certificados válidos que habiliten el acceso persistente:

Certify.exe find /clientauth

Se destaca que el poder de un certificado radica en su capacidad para autenticarse como el usuario al que pertenece, independientemente de cualquier cambio de contraseña, siempre y cuando el certificado permanezca válido.

Los certificados pueden solicitarse a través de una interfaz gráfica utilizando certmgr.msc o a través de la línea de comandos con certreq.exe. Con Certify, el proceso para solicitar un certificado se simplifica de la siguiente manera:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

Una vez realizada la solicitud exitosa, se genera un certificado junto con su clave privada en formato .pem. Para convertir esto en un archivo .pfx, que es utilizable en sistemas Windows, se utiliza el siguiente comando:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

El archivo .pfx puede ser luego cargado en un sistema objetivo y utilizado con una herramienta llamada Rubeus para solicitar un Ticket Granting Ticket (TGT) para el usuario, extendiendo el acceso del atacante siempre y cuando el certificado esté vigente (normalmente un año):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

Un importante aviso se comparte sobre cómo esta técnica, combinada con otro método descrito en la sección THEFT5, permite a un atacante obtener persistentemente el hash NTLM de una cuenta sin interactuar con el Servicio de Subsistema de Seguridad Local (LSASS), y desde un contexto no elevado, proporcionando un método más sigiloso para el robo de credenciales a largo plazo.

Obteniendo Persistencia en la Máquina con Certificados - PERSIST2

Otro método implica inscribir la cuenta de máquina de un sistema comprometido para obtener un certificado, utilizando la plantilla predeterminada Machine que permite tales acciones. Si un atacante obtiene privilegios elevados en un sistema, pueden usar la cuenta SYSTEM para solicitar certificados, proporcionando una forma de persistencia:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

Este acceso permite al atacante autenticarse en Kerberos como la cuenta de máquina y utilizar S4U2Self para obtener tickets de servicio de Kerberos para cualquier servicio en el host, otorgando efectivamente al atacante acceso persistente a la máquina.

Extensión de la Persistencia a Través de la Renovación de Certificados - PERSIST3

El método final discutido implica aprovechar los períodos de validez y renovación de las plantillas de certificados. Al renovar un certificado antes de su vencimiento, un atacante puede mantener la autenticación en Active Directory sin necesidad de inscripciones adicionales de tickets, lo que podría dejar rastros en el servidor de Autoridad de Certificación (CA).

Este enfoque permite un método de persistencia extendida, minimizando el riesgo de detección a través de interacciones más limitadas con el servidor de CA y evitando la generación de artefactos que podrían alertar a los administradores sobre la intrusión.