To jest małe podsumowanie rozdziałów dotyczących trwałości maszyny z niesamowitych badań z https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

Zrozumienie kradzieży aktywnych poświadczeń użytkownika za pomocą certyfikatów - PERSIST1

W scenariuszu, w którym użytkownik może poprosić o certyfikat umożliwiający uwierzytelnianie domeny, atakujący ma możliwość poproszenia i ukradzenia tego certyfikatu w celu utrzymania trwałości w sieci. Domyślnie szablon User w Active Directory umożliwia takie żądania, chociaż czasami może być wyłączony.

Za pomocą narzędzia o nazwie Certify można wyszukiwać ważne certyfikaty umożliwiające stały dostęp:

Certify.exe find /clientauth

Podkreśla się, że moc certyfikatu leży w jego zdolności do uwierzytelniania jako użytkownik, do którego należy, niezależnie od zmiany hasła, pod warunkiem, że certyfikat pozostaje ważny.

Certyfikaty można żądać za pomocą interfejsu graficznego przy użyciu certmgr.msc lub za pomocą wiersza polecenia za pomocą certreq.exe. Dzięki Certify proces żądania certyfikatu jest uproszczony i przebiega w następujący sposób:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

Po udanym żądaniu generowany jest certyfikat wraz z kluczem prywatnym w formacie .pem. Aby przekonwertować go na plik .pfx, który można używać w systemach Windows, używa się następującej komendy:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

Plik .pfx można następnie przesłać na docelowy system i użyć go z narzędziem o nazwie Rubeus, aby poprosić o bilet Ticket Granting Ticket (TGT) dla użytkownika, przedłużając dostęp atakującego tak długo, jak długo certyfikat jest ważny (zazwyczaj jeden rok):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

Ważne ostrzeżenie dotyczy tego, jak ta technika, połączona z inną metodą opisaną w sekcji THEFT5, umożliwia atakującemu trwałe uzyskanie skrótu NTLM konta bez interakcji z usługą Local Security Authority Subsystem (LSASS) i z kontekstu o niskich uprawnieniach, co zapewnia bardziej skrytą metodę długotrwałego kradzieży poświadczeń.

Zdobywanie trwałości maszyny za pomocą certyfikatów - PERSIST2

Inna metoda polega na zapisaniu konta maszyny skompromitowanego systemu na certyfikat, wykorzystując domyślny szablon Machine, który umożliwia takie działania. Jeśli atakujący uzyska podwyższone uprawnienia na systemie, może użyć konta SYSTEM do żądania certyfikatów, co zapewnia formę trwałości:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

Ten dostęp umożliwia atakującemu uwierzytelnienie się w Kerberosie jako konto maszyny i wykorzystanie S4U2Self do uzyskania biletów usługi Kerberos dla dowolnej usługi na hoście, co efektywnie daje atakującemu trwały dostęp do maszyny.

Rozszerzenie trwałości poprzez odnawianie certyfikatów - PERSIST3

Ostatnia omawiana metoda polega na wykorzystaniu okresów ważności i odnawiania szablonów certyfikatów. Poprzez odnawianie certyfikatu przed jego wygaśnięciem, atakujący może utrzymać uwierzytelnienie w Active Directory bez konieczności dodatkowego zapisywania biletów, co mogłoby pozostawić ślady na serwerze Certyfikatów (CA).

Ten podejście pozwala na rozszerzenie trwałości, minimalizując ryzyko wykrycia poprzez mniejszą liczbę interakcji z serwerem CA i unikając generowania artefaktów, które mogłyby zwrócić uwagę administratorów na włamanie.