AD CS Account Persistence

これは、https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdfの素晴らしい研究のマシン持続性章の小さな要約です。

証明書を使用したアクティブユーザー資格情報の盗難の理解 – PERSIST1

ドメイン認証を許可する証明書がユーザーによって要求できるシナリオでは、攻撃者はこの証明書を要求し、盗む機会を得て、ネットワーク上で持続性を維持することができます。デフォルトでは、Active DirectoryのUserテンプレートはそのような要求を許可しますが、時には無効にされることもあります。

Certifyというツールを使用すると、持続的なアクセスを可能にする有効な証明書を検索できます：

Certify.exe find /clientauth

証明書の力は、その証明書が属するユーザーとして認証する能力にあることが強調されています。証明書が有効である限り、パスワードの変更に関係なく認証が可能です。

証明書は、certmgr.mscを使用したグラフィカルインターフェースまたはcertreq.exeを使用したコマンドラインを通じて要求できます。Certifyを使用すると、証明書を要求するプロセスが次のように簡素化されます：

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

成功したリクエストにより、証明書とその秘密鍵が .pem 形式で生成されます。これをWindowsシステムで使用可能な .pfx ファイルに変換するには、次のコマンドを使用します：

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfxファイルはターゲットシステムにアップロードされ、Rubeusというツールを使用してユーザーのチケットグラントチケット（TGT）を要求するために使用され、攻撃者のアクセスを証明書が有効である限り（通常は1年）延長します：

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

重要な警告があります。この技術は、THEFT5 セクションで概説されている別の方法と組み合わせることで、攻撃者がローカル セキュリティ権限サブシステム サービス (LSASS) と対話することなく、非特権コンテキストからアカウントの NTLM ハッシュ を持続的に取得できることを示しています。これにより、長期的な資格情報の盗難に対するよりステルスな方法が提供されます。

証明書を使用したマシンの持続性の獲得 - PERSIST2

別の方法は、妥協されたシステムのマシン アカウントを証明書に登録することです。これは、そのようなアクションを許可するデフォルトの Machine テンプレートを利用します。攻撃者がシステム上で特権を取得すると、SYSTEM アカウントを使用して証明書を要求でき、持続性の一形態を提供します。

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

このアクセスにより、攻撃者はマシンアカウントとしてKerberosに認証し、S4U2Selfを利用してホスト上の任意のサービスのKerberosサービスチケットを取得でき、実質的に攻撃者にマシンへの持続的なアクセスを付与します。

証明書の更新による持続性の拡張 - PERSIST3

最後に議論される方法は、証明書テンプレートの有効性と更新期間を利用することです。証明書が期限切れになる前に更新することで、攻撃者は追加のチケット登録を必要とせずにActive Directoryへの認証を維持でき、これにより証明書認証局（CA）サーバーに痕跡を残すことを避けられます。

このアプローチは、CAサーバーとの相互作用を最小限に抑え、侵入を管理者に警告する可能性のあるアーティファクトの生成を回避することで、拡張された持続性の方法を提供します。