AD CS Account Persistence
Bu, https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf adresindeki harika araştırmanın makine sürekliliği bölümlerinin küçük bir özetidir.
Sertifikalarla Aktif Kullanıcı Kimlik Bilgisi Çalma - PERSIST1
Bir kullanıcının etki alanı kimlik doğrulamasına izin veren bir sertifika talep edebildiği bir senaryoda, bir saldırgan ağda süreklilik sağlamak için bu sertifikayı talep edebilir ve çalabilir. Active Directory'deki User
şablonu varsayılan olarak böyle talepleri kabul eder, ancak bazen devre dışı bırakılabilir.
Certify adlı bir araç kullanarak, kalıcı erişimi etkinleştiren geçerli sertifikaları arayabilirsiniz:
Sertifikanın gücü, sertifikaya ait kullanıcı olarak kimlik doğrulama yapabilme yeteneğinde yatmaktadır. Sertifika geçerli olduğu sürece, herhangi bir şifre değişikliğine bakılmaksızın bu yetenek devam eder.
Sertifikalar, certmgr.msc
kullanarak grafik arayüzü veya certreq.exe
ile komut satırı üzerinden istenebilir. Certify ile sertifika talep etme süreci aşağıdaki gibi basitleştirilir:
Başarılı bir istek sonrasında, bir sertifika ve onun özel anahtarı .pem
formatında oluşturulur. Bu .pem
dosyasını Windows sistemlerinde kullanılabilir hale getirmek için aşağıdaki komut kullanılır:
.pfx
dosyası daha sonra bir hedef sistemde yüklenip, Rubeus adlı bir araçla kullanılabilir. Bu araç, kullanıcı için bir Bilet Verme Bileti (TGT) talep etmek için kullanılır ve saldırganın erişimini sertifika geçerli olduğu sürece (genellikle bir yıl) uzatır:
Sertifikalarla Makine Sürekliliği Kazanma - PERSIST2
Başka bir yöntem, bir kompromize edilmiş sistemin makine hesabını bir sertifika için kaydetmeyi içerir ve bu işlemlere izin veren varsayılan Machine
şablonunu kullanır. Bir saldırgan bir sisteme yükseltilmiş ayrıcalıklarla erişim sağlarsa, SYSTEM hesabını kullanarak sertifika talep edebilir ve bu da bir tür süreklilik sağlar:
Bu erişim saldırganın makine hesabı olarak Kerberos üzerinde kimlik doğrulamasını yapmasına ve S4U2Self kullanarak ana bilgisayarda herhangi bir hizmet için Kerberos hizmet bileti almasına olanak tanır, bu da saldırgana makineye sürekli erişim sağlar.
Sertifika Yenileme Yoluyla Kalıcılığı Genişletme - PERSIST3
Tartışılan son yöntem, sertifika şablonlarının geçerlilik ve yenileme sürelerinden yararlanmaktır. Bir sertifikayı süresi dolmadan yenileyerek, saldırgan ek bilet kayıtlarına ihtiyaç duymadan Active Directory'ye kimlik doğrulamasını sürdürebilir ve bu da Sertifika Yetkilisi (CA) sunucusunda iz bırakabilecek ek artefaktlardan kaçınır.
Bu yaklaşım, daha az CA sunucusu etkileşimiyle ve yöneticileri saldırıya uyarabilecek artefaktların oluşturulmasından kaçınarak genişletilmiş bir kalıcılık yöntemi sağlar.
Last updated