AD CS Account Persistence
Αυτό είναι ένα μικρό σύνολο πληροφοριών από τα κεφάλαια μόνιμης παραμονής της μηχανής από την εκπληκτική έρευνα του https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
Κατανόηση Κλοπής Διαπιστευτηρίων Ενεργού Χρήστη με Πιστοποιητικά - PERSIST1
Σε ένα σενάριο όπου ένα πιστοποιητικό που επιτρέπει την πιστοποίηση του τομέα μπορεί να ζητηθεί από έναν χρήστη, ένας επιτιθέμενος έχει την ευκαιρία να ζητήσει και κλέψει αυτό το πιστοποιητικό για να διατηρήσει τη μόνιμη παρουσία σε ένα δίκτυο. Από προεπιλογή, το πρότυπο User
στο Active Directory επιτρέπει τέτοια αιτήματα, αν και μερικές φορές μπορεί να είναι απενεργοποιημένο.
Χρησιμοποιώντας ένα εργαλείο με το όνομα Certify, μπορεί κανείς να αναζητήσει έγκυρα πιστοποιητικά που επιτρέπουν μόνιμη πρόσβαση:
Είναι επισημασμένο ότι η δύναμη ενός πιστοποιητικού βρίσκεται στην ικανότητά του να πιστοποιηθεί ως ο χρήστης στον οποίο ανήκει, ανεξάρτητα από οποιεσδήποτε αλλαγές κωδικού πρόσβασης, εφόσον το πιστοποιητικό παραμένει έγκυρο.
Τα πιστοποιητικά μπορούν να ζητηθούν μέσω γραφικού περιβάλλοντος χρησιμοποιώντας το certmgr.msc
ή μέσω της γραμμής εντολών με τη χρήση του certreq.exe
. Με το Certify, η διαδικασία για την αίτηση ενός πιστοποιητικού απλοποιείται ως εξής:
Μετά από μια επιτυχημένη αίτηση, δημιουργείται ένα πιστοποιητικό μαζί με το ιδιωτικό του κλειδί σε μορφή .pem
. Για να μετατραπεί αυτό σε ένα αρχείο .pfx
, το οποίο μπορεί να χρησιμοποιηθεί σε συστήματα Windows, χρησιμοποιείται η παρακάτω εντολή:
Το αρχείο .pfx
μπορεί να ανέβει σε ένα σύστημα-στόχο και να χρησιμοποιηθεί με ένα εργαλείο που ονομάζεται Rubeus για να ζητηθεί ένα Ticket Granting Ticket (TGT) για τον χρήστη, επεκτείνοντας την πρόσβαση του επιτιθέμενου για όσο διάστημα είναι έγκυρο το πιστοποιητικό (συνήθως ένα έτος):
Μια σημαντική προειδοποίηση κοινοποιείται σχετικά με το πώς αυτή η τεχνική, σε συνδυασμό με μια άλλη μέθοδο που περιγράφεται στην ενότητα THEFT5, επιτρέπει σε έναν επιτιθέμενο να αποκτήσει με αντοχή το NTLM hash ενός λογαριασμού χωρίς να αλληλεπιδρά με την υπηρεσία Local Security Authority Subsystem (LSASS) και από ένα μη ανυψωμένο περιβάλλον, παρέχοντας έτσι μια πιο αόρατη μέθοδο για μακροπρόθεσμη κλοπή διαπιστευτηρίων.
Απόκτηση Μόνιμης Επιμονής στο Μηχάνημα με Πιστοποιητικά - PERSIST2
Μια άλλη μέθοδος περιλαμβάνει την εγγραφή του λογαριασμού μηχανής ενός παραβιασμένου συστήματος για ένα πιστοποιητικό, χρησιμοποιώντας το προεπιλεγμένο πρότυπο Machine
που επιτρέπει τέτοιες ενέργειες. Αν ένας επιτιθέμενος αποκτήσει ανυψωμένα προνόμια σε ένα σύστημα, μπορεί να χρησιμοποιήσει τον λογαριασμό SYSTEM για να ζητήσει πιστοποιητικά, παρέχοντας έτσι μια μορφή επιμονής:
Αυτή η πρόσβαση επιτρέπει στον επιτιθέμενο να πιστοποιηθεί στο Kerberos ως λογαριασμός της μηχανής και να χρησιμοποιήσει το S4U2Self για να λάβει εισιτήρια υπηρεσίας Kerberos για οποιαδήποτε υπηρεσία στον υπολογιστή, παρέχοντας αποτελεσματική μόνιμη πρόσβαση στη μηχανή.
Επέκταση της Διατήρησης μέσω της Ανανέωσης Πιστοποιητικών - PERSIST3
Η τελική μέθοδος που συζητείται εμπλέκει την αξιοποίηση της ισχύος και των περιόδων ανανέωσης των προτύπων πιστοποιητικών. Με την ανανέωση ενός πιστοποιητικού πριν από τη λήξη του, ένας επιτιθέμενος μπορεί να διατηρήσει την πιστοποίησή του στο Active Directory χωρίς την ανάγκη για επιπλέον εγγραφές εισιτηρίων, οι οποίες θα μπορούσαν να αφήσουν ίχνη στον διακομιστή Αρχής Πιστοποίησης (CA).
Αυτή η προσέγγιση επιτρέπει μια επεκτεινόμενη διατήρηση, μειώνοντας τον κίνδυνο ανίχνευσης μέσω λιγότερων αλληλεπιδράσεων με τον διακομιστή CA και αποφεύγοντας τη δημιουργία αρχείων που θα μπορούσαν να ειδοποιήσουν τους διαχειριστές για την παραβίαση.
Last updated