AD CS Account Persistence
Ovo je kratak rezime poglavlja o održivosti mašine iz fantastičnog istraživanja sa https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
Razumevanje krađe aktivnih korisničkih akreditacija putem sertifikata - PERSIST1
U scenariju gde korisnik može zatražiti sertifikat koji omogućava autentifikaciju domena, napadač ima priliku da zatraži i ukrade ovaj sertifikat kako bi održao održivost na mreži. Podrazumevano, šablona User
u Active Directory-ju omogućava takve zahteve, mada se ponekad može onemogućiti.
Korišćenjem alata nazvanog Certify, može se pretraživati za validne sertifikate koji omogućavaju trajni pristup:
Naglašeno je da snaga sertifikata leži u njegovoj sposobnosti da autentifikuje kao korisnik kojem pripada, bez obzira na promene lozinke, sve dok sertifikat ostaje važeći.
Sertifikati se mogu zahtevati putem grafičkog interfejsa koristeći certmgr.msc
ili putem komandne linije sa certreq.exe
. Sa Certify-jem, proces zahtevanja sertifikata je pojednostavljen na sledeći način:
Nakon uspešnog zahteva, generiše se sertifikat zajedno sa privatnim ključem u .pem
formatu. Da biste to pretvorili u .pfx
datoteku, koja se može koristiti na Windows sistemima, koristi se sledeća komanda:
.pfx
datoteku možete preneti na ciljni sistem i koristiti je sa alatom nazvanim Rubeus kako biste zatražili Ticket Granting Ticket (TGT) za korisnika, produžavajući pristup napadača dok je sertifikat važeći (obično jednu godinu):
Važno upozorenje je podeljeno o tome kako ova tehnika, kombinovana sa drugom metodom opisanom u odeljku THEFT5, omogućava napadaču da trajno dobije NTLM hash naloga bez interakcije sa Local Security Authority Subsystem Service (LSASS), i to iz neprivilegovanog konteksta, pružajući prikriveniju metodu za dugoročnu krađu akreditiva.
Dobijanje mašinske perzistencije pomoću sertifikata - PERSIST2
Druga metoda uključuje upisivanje mašinskog naloga kompromitovanog sistema za sertifikat, koristeći podrazumevani Machine
šablon koji dozvoljava takve akcije. Ako napadač stekne privilegije na sistemu, mogu koristiti SYSTEM nalog za zahtevanje sertifikata, pružajući oblik perzistencije:
Ovaj pristup omogućava napadaču da se autentifikuje na Kerberos kao korisnički račun mašine i koristi S4U2Self da bi dobio Kerberos servisne tikete za bilo koji servis na hostu, efektivno dajući napadaču trajan pristup mašini.
Proširenje postojanosti kroz obnovu sertifikata - PERSIST3
Poslednja metoda koja se razmatra uključuje iskorišćavanje perioda važenja i perioda obnove šablona sertifikata. Obnavljanjem sertifikata pre isteka, napadač može održavati autentifikaciju na Active Directory-ju bez potrebe za dodatnim upisima tiketa, što bi moglo ostaviti tragove na serveru za izdavanje sertifikata (CA).
Ovaj pristup omogućava proširenu postojanost, minimizirajući rizik od otkrivanja kroz manje interakcija sa serverom za izdavanje sertifikata i izbegavanje generisanja artefakata koji bi mogli upozoriti administratore na upad.
Last updated