AD CS Account Persistence

यह https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf से शानदार शोध के मशीन स्थिरता अध्यायों का एक छोटा सारांश है।

Understanding Active User Credential Theft with Certificates – PERSIST1

एक परिदृश्य में जहां एक प्रमाणपत्र जो डोमेन प्रमाणीकरण की अनुमति देता है, एक उपयोगकर्ता द्वारा अनुरोध किया जा सकता है, एक हमलावर के पास इस प्रमाणपत्र को अनुरोध करने और चोरी करने का अवसर होता है ताकि नेटवर्क पर स्थिरता बनाए रखी जा सके। डिफ़ॉल्ट रूप से, Active Directory में User टेम्पलेट ऐसी अनुरोधों की अनुमति देता है, हालांकि इसे कभी-कभी अक्षम किया जा सकता है।

Certify नामक एक उपकरण का उपयोग करके, कोई स्थायी पहुंच सक्षम करने वाले मान्य प्रमाणपत्रों की खोज कर सकता है:

Certify.exe find /clientauth

यह उजागर किया गया है कि एक प्रमाणपत्र की शक्ति इस बात में है कि यह उपयोगकर्ता के रूप में प्रमाणित कर सकता है, जिस पर यह निर्भर करता है, किसी भी पासवर्ड परिवर्तन की परवाह किए बिना, जब तक कि प्रमाणपत्र मान्य है।

प्रमाणपत्रों को certmgr.msc का उपयोग करके ग्राफिकल इंटरफेस के माध्यम से या certreq.exe के साथ कमांड लाइन के माध्यम से अनुरोध किया जा सकता है। Certify के साथ, प्रमाणपत्र का अनुरोध करने की प्रक्रिया को इस प्रकार सरल बनाया गया है:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

सफलतापूर्वक अनुरोध पर, एक प्रमाणपत्र इसके निजी कुंजी के साथ .pem प्रारूप में उत्पन्न होता है। इसे Windows सिस्टम पर उपयोग करने योग्य .pfx फ़ाइल में परिवर्तित करने के लिए, निम्नलिखित कमांड का उपयोग किया जाता है:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfx फ़ाइल को फिर एक लक्षित प्रणाली पर अपलोड किया जा सकता है और Rubeus नामक एक उपकरण के साथ उपयोग किया जा सकता है ताकि उपयोगकर्ता के लिए एक टिकट ग्रांटिंग टिकट (TGT) का अनुरोध किया जा सके, हमलावर की पहुँच को तब तक बढ़ाते हुए जब तक प्रमाणपत्र मान्य है (आमतौर पर एक वर्ष):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

एक महत्वपूर्ण चेतावनी साझा की गई है कि कैसे यह तकनीक, THEFT5 अनुभाग में वर्णित एक अन्य विधि के साथ मिलकर, एक हमलावर को स्थानीय सुरक्षा प्राधिकरण उप-सेवा (LSASS) के साथ बातचीत किए बिना एक खाते का NTLM हैश लगातार प्राप्त करने की अनुमति देती है, और एक गैर-उन्नत संदर्भ से, दीर्घकालिक क्रेडेंशियल चोरी के लिए एक अधिक छिपा हुआ तरीका प्रदान करती है।

सर्टिफिकेट के साथ मशीन स्थिरता प्राप्त करना - PERSIST2

एक अन्य विधि में एक समझौता किए गए सिस्टम के मशीन खाते के लिए एक सर्टिफिकेट के लिए नामांकन करना शामिल है, डिफ़ॉल्ट Machine टेम्पलेट का उपयोग करते हुए जो ऐसी क्रियाओं की अनुमति देता है। यदि एक हमलावर किसी सिस्टम पर उन्नत विशेषाधिकार प्राप्त करता है, तो वे SYSTEM खाते का उपयोग करके सर्टिफिकेट का अनुरोध कर सकते हैं, जो एक प्रकार की persistence प्रदान करता है:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

यह पहुँच हमलावर को मशीन खाते के रूप में Kerberos में प्रमाणीकरण करने और मेज़बान पर किसी भी सेवा के लिए Kerberos सेवा टिकट प्राप्त करने के लिए S4U2Self का उपयोग करने की अनुमति देती है, जिससे हमलावर को मशीन पर निरंतर पहुँच मिलती है।

प्रमाणपत्र नवीनीकरण के माध्यम से निरंतरता बढ़ाना - PERSIST3

अंतिम विधि में प्रमाणपत्र टेम्पलेट्स की वैधता और नवीनीकरण अवधि का लाभ उठाना शामिल है। एक प्रमाणपत्र को उसकी समाप्ति से पहले नवीनीकरण करके, एक हमलावर सक्रिय निर्देशिका में प्रमाणीकरण बनाए रख सकता है बिना अतिरिक्त टिकट नामांकन की आवश्यकता के, जो प्रमाणपत्र प्राधिकरण (CA) सर्वर पर निशान छोड़ सकता है।

यह दृष्टिकोण एक विस्तारित निरंतरता विधि की अनुमति देता है, CA सर्वर के साथ कम इंटरैक्शन के माध्यम से पहचान के जोखिम को कम करता है और ऐसे आर्टिफैक्ट्स के निर्माण से बचता है जो प्रशासकों को घुसपैठ के बारे में सतर्क कर सकते हैं।