AD CS Account Persistence
これは、https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf からの素晴らしいリサーチのマシン永続性章の要約です。
証明書を使用したアクティブユーザー資格情報の盗難の理解 – PERSIST1
ユーザーがドメイン認証を許可する証明書をリクエストできるシナリオでは、攻撃者はネットワーク上で永続性を維持するためにこの証明書をリクエストおよび盗む機会があります。Active DirectoryのUser
テンプレートは、そのようなリクエストを許可するようになっていますが、時々無効にされていることがあります。
Certifyというツールを使用すると、永続的なアクセスを可能にする有効な証明書を検索できます。
強調されているのは、証明書の力は、証明書が有効である限り、パスワードの変更に関係なく、それが所属するユーザーとして認証できることにあります。
証明書は、certmgr.msc
を使用してグラフィカルインターフェイスを介して、またはcertreq.exe
を使用してコマンドラインを介してリクエストすることができます。Certifyを使用すると、証明書をリクエストするプロセスは次のように簡略化されます:
成功したリクエストの後、証明書とその秘密鍵が.pem
形式で生成されます。これをWindowsシステムで使用可能な.pfx
ファイルに変換するには、次のコマンドを使用します:
.pfx
ファイルは、その後、ターゲットシステムにアップロードされ、ユーザーのためにチケット発行チケット(TGT)を要求するためにRubeusと呼ばれるツールと共に使用され、証明書が有効である限り(通常1年間)、攻撃者のアクセスを延長します。
重要な警告が共有されており、この技術が、THEFT5セクションで概説されている別の方法と組み合わさることで、攻撃者がローカルセキュリティ機関サブシステムサービス(LSASS)とやり取りせずに、非昇格コンテキストからアカウントのNTLMハッシュを持続的に取得し、長期間の資格情報盗難のためのよりステルスな方法を提供することができることについて重要な警告が共有されています。
証明書を使用したマシンの持続性の獲得 - PERSIST2
別の方法は、侵害されたシステムのマシンアカウントを証明書に登録し、そのようなアクションを許可するデフォルトのMachine
テンプレートを利用することです。攻撃者がシステムで昇格特権を取得した場合、SYSTEMアカウントを使用して証明書を要求することができ、一種の持続性を提供します。
このアクセスを利用すると、攻撃者はマシンアカウントとしてKerberosに認証し、S4U2Selfを利用してホスト上の任意のサービスのKerberosサービスチケットを取得し、事実上、攻撃者にマシンへの持続的アクセスを付与します。
証明書の更新を通じた持続性の拡張 - PERSIST3
最後に議論される方法は、証明書テンプレートの有効期間と更新期間を活用することです。証明書を有効期限切れ前に更新することで、攻撃者は追加のチケット登録が必要なくActive Directoryへの認証を維持できます。これにより、証明書権限発行機関(CA)サーバーに痕跡を残す可能性がある追加のチケット登録を回避できます。
このアプローチにより、CAサーバーとのやり取りが少なくなり、侵入を管理者に通知する可能性のあるアーティファクトの生成を回避することで、拡張された持続性方法が可能となります。
Last updated