Privileged Groups
管理特権を持つよく知られたグループ
Administrators
Domain Admins
Enterprise Admins
アカウントオペレーター
このグループは、ドメイン上の管理者でないアカウントやグループを作成する権限を持っています。さらに、ドメインコントローラー(DC)へのローカルログインを可能にします。
このグループのメンバーを特定するために、次のコマンドが実行されます:
新しいユーザーの追加が許可されており、DC01へのローカルログインも許可されています。
AdminSDHolderグループ
AdminSDHolderグループのアクセス制御リスト(ACL)は、Active Directory内のすべての「保護されたグループ」、高特権グループを含む、権限を設定するために重要です。このメカニズムにより、これらのグループのセキュリティが確保され、未承認の変更が防止されます。
攻撃者は、AdminSDHolderグループのACLを変更して、標準ユーザーに完全な権限を付与することでこれを悪用する可能性があります。これにより、そのユーザーにはすべての保護されたグループに対する完全な制御権が与えられます。このユーザーの権限が変更または削除された場合、システムの設計により1時間以内に自動的に再設定されます。
メンバーを確認し権限を変更するためのコマンドは次の通りです:
スクリプトを使用して復元プロセスを迅速化できます:Invoke-ADSDPropagation.ps1。
詳細については、ired.teamを参照してください。
AD Recycle Bin
このグループへのメンバーシップにより、削除されたActive Directoryオブジェクトの読み取りが可能となり、機密情報が明らかになる可能性があります:
ドメインコントローラーアクセス
DC上のファイルへのアクセスは、ユーザーが Server Operators
グループの一部でない限り制限されており、これによりアクセスレベルが変更されます。
特権昇格
Sysinternalsの PsService
または sc
を使用すると、サービスの権限を調査および変更できます。たとえば、Server Operators
グループは特定のサービスに対して完全な制御権を持っており、任意のコマンドの実行と特権昇格が可能です。
このコマンドは、Server Operators
が完全なアクセス権を持ち、昇格された特権のためにサービスの操作が可能であることを明らかにします。
バックアップオペレーター
Backup Operators
グループへのメンバーシップは、SeBackup
および SeRestore
特権により、DC01
ファイルシステムへのアクセスを提供します。これらの特権により、FILE_FLAG_BACKUP_SEMANTICS
フラグを使用して、明示的なアクセス許可なしにフォルダのトラバーサル、リスト、およびファイルのコピーが可能となります。このプロセスには特定のスクリプトの利用が必要です。
グループのメンバーをリストするには、次のコマンドを実行します:
ローカル攻撃
これらの特権をローカルで活用するために、次の手順が使用されます:
必要なライブラリをインポートします:
SeBackupPrivilege
の有効化と検証:
制限されたディレクトリからファイルにアクセスしてコピーする場合:
AD攻撃
ドメインコントローラのファイルシステムへの直接アクセスにより、すべてのドメインユーザーおよびコンピューターのNTLMハッシュを含むNTDS.dit
データベースを盗むことができます。
diskshadow.exeの使用
C
ドライブのシャドウコピーを作成します:
シャドウコピーから
NTDS.dit
をコピーします:
代わりに、ファイルのコピーに robocopy
を使用します:
ハッシュの取得のために
SYSTEM
とSAM
を抽出します:
NTDS.dit
からすべてのハッシュを取得します:
wbadmin.exeの使用
攻撃者のマシンにSMBサーバー用のNTFSファイルシステムを設定し、ターゲットマシンでSMB資格情報をキャッシュします。
システムバックアップと
NTDS.dit
の抽出にwbadmin.exe
を使用します:
実演は、IPPSECによるデモビデオを参照してください。
DnsAdmins
DnsAdminsグループのメンバーは、DNSサーバー(通常はドメインコントローラーにホストされる)で任意のDLLをSYSTEM権限で読み込む特権を悪用できます。この機能により、重要な悪用の可能性が生じます。
DnsAdminsグループのメンバーをリストアップするには、次を使用します:
任意のDLLの実行
メンバーは、次のようなコマンドを使用して、DNSサーバーに任意のDLL(ローカルまたはリモート共有から)を読み込ませることができます。
DNSサービスを再起動する(追加の権限が必要かもしれません):
Mimilib.dll
mimilib.dllを使用してコマンドを実行したり、特定のコマンドやリバースシェルを実行するように変更することも可能です。詳細については、この投稿を参照してください。
MitM用のWPADレコード
DnsAdminsは、グローバルクエリブロックリストを無効にした後、WPADレコードを作成することで、Man-in-the-Middle(MitM)攻撃を実行することができます。 ResponderやInveighなどのツールを使用して、スプーフィングやネットワークトラフィックのキャプチャが可能です。
イベントログリーダー
メンバーはイベントログにアクセスでき、平文のパスワードやコマンドの実行の詳細など、機密情報を見つける可能性があります。
Exchange Windows Permissions
このグループはドメインオブジェクトのDACLを変更でき、DCSync権限を付与する可能性があります。このグループを悪用した特権昇格のテクニックは、Exchange-AD-Privesc GitHubリポジトリで詳細に説明されています。
Hyper-V管理者
Hyper-V管理者は、Hyper-Vへの完全なアクセス権を持ち、仮想化されたドメインコントローラーを制御するために悪用される可能性があります。これには、ライブDCのクローン作成やNTDS.ditファイルからNTLMハッシュを抽出することが含まれます。
悪用例
FirefoxのMozilla Maintenance Serviceは、Hyper-V管理者によってSYSTEMとしてコマンドを実行される可能性があります。これには、保護されたSYSTEMファイルへのハードリンクの作成と、それを悪意のある実行可能ファイルで置き換える作業が含まれます。
組織管理
Microsoft Exchange が展開されている環境では、Organization Management として知られる特別なグループが重要な機能を持っています。このグループは、すべてのドメインユーザーのメールボックスにアクセスし、'Microsoft Exchange Security Groups' 組織単位(OU)全体を完全に制御します。この制御には、特権昇格に悪用される可能性のある Exchange Windows Permissions
グループも含まれます。
特権悪用とコマンド
プリント オペレーター
Print Operators グループのメンバーは、SeLoadDriverPrivilege
を含む複数の特権を持っており、これによりドメインコントローラーにローカルログオンし、シャットダウン、プリンターの管理が可能です。特権を悪用するために、特に**SeLoadDriverPrivilege
** が昇格されていない状況で表示されない場合、ユーザーアカウント制御(UAC)をバイパスする必要があります。
このグループのメンバーをリストするために、次のPowerShellコマンドが使用されます:
リモートデスクトップユーザー
このグループのメンバーは、リモートデスクトッププロトコル(RDP)を介してPCにアクセスできます。これらのメンバーを列挙するには、PowerShellコマンドが使用できます:
さらなるRDPの悪用に関する洞察は、専用のペンテストリソースで見つけることができます。
リモート管理ユーザー
メンバーは**Windows Remote Management (WinRM)**を介してPCにアクセスできます。これらのメンバーの列挙は、次のように行われます:
サーバーオペレーター
このグループには、バックアップと復元権限、システム時刻の変更、システムのシャットダウンなど、ドメインコントローラーでさまざまな構成を実行する権限があります。メンバーを列挙するために提供されるコマンドは次のとおりです:
参考文献
Last updated