これは、https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf からの素晴らしいリサーチのマシン永続性章の要約です。

証明書を使用したアクティブユーザー資格情報の盗難の理解 – PERSIST1

ユーザーがドメイン認証を許可する証明書をリクエストできるシナリオでは、攻撃者はネットワーク上で永続性を維持するためにこの証明書をリクエストおよび盗む機会があります。Active DirectoryのUserテンプレートは、そのようなリクエストを許可するようになっていますが、時々無効にされていることがあります。

Certifyというツールを使用すると、永続的なアクセスを可能にする有効な証明書を検索できます。

Certify.exe find /clientauth

強調されているのは、証明書の力は、証明書が有効である限り、パスワードの変更に関係なく、それが所属するユーザーとして認証できることにあります。

証明書は、certmgr.mscを使用してグラフィカルインターフェイスを介して、またはcertreq.exeを使用してコマンドラインを介してリクエストすることができます。Certifyを使用すると、証明書をリクエストするプロセスは次のように簡略化されます：

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

成功したリクエストの後、証明書とその秘密鍵が.pem形式で生成されます。これをWindowsシステムで使用可能な.pfxファイルに変換するには、次のコマンドを使用します：

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfxファイルは、その後、ターゲットシステムにアップロードされ、ユーザーのためにチケット発行チケット（TGT）を要求するためにRubeusと呼ばれるツールと共に使用され、証明書が有効である限り（通常1年間）、攻撃者のアクセスを延長します。

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

重要な警告が共有されており、この技術が、THEFT5セクションで概説されている別の方法と組み合わさることで、攻撃者がローカルセキュリティ機関サブシステムサービス（LSASS）とやり取りせずに、非昇格コンテキストからアカウントのNTLMハッシュを持続的に取得し、長期間の資格情報盗難のためのよりステルスな方法を提供することができることについて重要な警告が共有されています。

証明書を使用したマシンの持続性の獲得 - PERSIST2

別の方法は、侵害されたシステムのマシンアカウントを証明書に登録し、そのようなアクションを許可するデフォルトのMachineテンプレートを利用することです。攻撃者がシステムで昇格特権を取得した場合、SYSTEMアカウントを使用して証明書を要求することができ、一種の持続性を提供します。

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

このアクセスを利用すると、攻撃者はマシンアカウントとしてKerberosに認証し、S4U2Selfを利用してホスト上の任意のサービスのKerberosサービスチケットを取得し、事実上、攻撃者にマシンへの持続的アクセスを付与します。

証明書の更新を通じた持続性の拡張 - PERSIST3

最後に議論される方法は、証明書テンプレートの有効期間と更新期間を活用することです。証明書を有効期限切れ前に更新することで、攻撃者は追加のチケット登録が必要なくActive Directoryへの認証を維持できます。これにより、証明書権限発行機関（CA）サーバーに痕跡を残す可能性がある追加のチケット登録を回避できます。

このアプローチにより、CAサーバーとのやり取りが少なくなり、侵入を管理者に通知する可能性のあるアーティファクトの生成を回避することで、拡張された持続性方法が可能となります。