**이것은 https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf**의 멋진 연구에서 기계 지속성 장에 대한 작은 요약입니다.

인증서를 사용한 활성 사용자 자격증명 도난 이해 - PERSIST1

도메인 인증을 허용하는 인증서를 사용자가 요청할 수 있는 시나리오에서 공격자는 네트워크에서 지속성을 유지하기 위해 이 인증서를 요청하고 도난할 수 있는 기회를 갖습니다. Active Directory의 User 템플릿은 기본적으로 이러한 요청을 허용하지만 때로는 비활성화될 수도 있습니다.

Certify라는 도구를 사용하여 지속적인 액세스를 가능하게 하는 유효한 인증서를 검색할 수 있습니다:

Certify.exe find /clientauth

인증서의 힘은 해당 사용자로 인증할 수 있는 능력에 있다고 강조되었습니다. 인증서가 유효한 한, 비밀번호 변경 여부와 상관없이 사용자로 인증될 수 있습니다.

인증서는 certmgr.msc를 통해 그래픽 인터페이스로 요청하거나 certreq.exe를 통해 명령줄에서 요청할 수 있습니다. Certify를 사용하면 인증서 요청 프로세스가 다음과 같이 간소화됩니다:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

요청이 성공하면, .pem 형식으로 인증서와 해당 개인 키가 생성됩니다. 이를 Windows 시스템에서 사용할 수 있는 .pfx 파일로 변환하기 위해 다음 명령을 사용합니다:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfx 파일은 대상 시스템에 업로드되어 Rubeus라는 도구와 함께 사용될 수 있으며, 이를 통해 사용자의 Ticket Granting Ticket (TGT)를 요청하여 공격자의 액세스를 인증서의 유효 기간 (일반적으로 1년) 동안 연장할 수 있습니다.

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

인증서를 사용하여 기계 지속성 확보 - PERSIST2

다른 방법은 기계 계정을 인증서에 등록하는 것으로, 기본적으로 이러한 작업을 허용하는 Machine 템플릿을 사용합니다. 공격자가 시스템에서 권한 상승을 얻으면 SYSTEM 계정을 사용하여 인증서를 요청할 수 있으며, 이는 지속성의 형태를 제공합니다:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

이 접근은 공격자가 기계 계정으로 Kerberos에 인증하고 S4U2Self를 활용하여 호스트의 모든 서비스에 대한 Kerberos 서비스 티켓을 얻을 수 있게 해줍니다. 이를 통해 공격자는 기계에 대한 지속적인 액세스 권한을 얻을 수 있습니다.

인증서 갱신을 통한 지속성 확장 - PERSIST3

마지막으로 논의되는 방법은 인증서 템플릿의 유효 기간과 갱신 기간을 활용하는 것입니다. 인증서의 만료 전에 인증서를 갱신함으로써 공격자는 추가 티켓 등록이 필요하지 않고 Active Directory에 대한 인증을 유지할 수 있습니다. 이는 인증서 기관(CA) 서버에 추적을 남길 수 있는 추가 흔적을 방지합니다.

이 접근 방식은 확장된 지속성 방법을 제공하며, CA 서버와의 상호 작용이 적어져 탐지 위험을 최소화하고 침입에 대한 경고를 줄 수 있는 아티팩트 생성을 피할 수 있습니다.