Це невеликий огляд розділів про постійність машин від чудового дослідження з https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf

Розуміння крадіжки активних облікових даних користувача за допомогою сертифікатів – PERSIST1

У сценарії, де користувач може запитати сертифікат, який дозволяє аутентифікацію в домені, зловмисник має можливість запитати та вкрасти цей сертифікат для збереження постійності в мережі. За замовчуванням, шаблон User в Active Directory дозволяє такі запити, хоча іноді це може бути вимкнено.

Використовуючи інструмент під назвою Certify, можна шукати дійсні сертифікати, які дозволяють постійний доступ:

Certify.exe find /clientauth

Це підкреслено, що сила сертифіката полягає в його можливості аутентифікуватися як користувач, якому він належить, незалежно від будь-яких змін пароля, поки сертифікат залишається дійсним.

Сертифікати можна запитати через графічний інтерфейс, використовуючи certmgr.msc, або через командний рядок за допомогою certreq.exe. З Certify процес запиту сертифіката спрощено наступним чином:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

Після успішного запиту генерується сертифікат разом з приватним ключем у форматі .pem. Щоб перетворити це у файл .pfx, який можна використовувати в системах Windows, використовується наступна команда:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfx файл можна завантажити на цільову систему та використовувати з інструментом під назвою Rubeus, щоб запросити квиток для надання квитка (TGT) для користувача, продовжуючи доступ зловмиснику на протязі часу, поки сертифікат є дійсним (зазвичай один рік):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

Важне попередження про те, як ця техніка, поєднана з іншим методом, описаним у розділі THEFT5, дозволяє зловмиснику постійно отримувати хеш NTLM облікового запису без взаємодії з Службою підсистеми локальної безпеки (LSASS) та з невищим контекстом, надаючи більш прихований метод для крадіжки облікових даних на довгостроковий період.

Отримання постійної машинної стійкості за допомогою сертифікатів - PERSIST2

Ще один метод передбачає запис машинного облікового запису компрометованої системи для сертифіката, використовуючи типовий шаблон Machine, який дозволяє такі дії. Якщо зловмисник отримує підвищені привілеї на системі, вони можуть використовувати обліковий запис SYSTEM для запиту сертифікатів, надаючи форму стійкості:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

Даний доступ дозволяє зловмиснику аутентифікуватися до Kerberos як обліковий запис машини та використовувати S4U2Self для отримання квитків обслуговування Kerberos для будь-якої служби на хості, ефективно надаючи зловмиснику постійний доступ до машини.

Розширення стійкості через оновлення сертифікатів - PERSIST3

Останній обговорюваний метод передбачає використання строку дії та періоду оновлення шаблонів сертифікатів. Шляхом оновлення сертифіката перед його закінченням зловмисник може зберігати аутентифікацію в Active Directory без необхідності додаткових записів квитків, що може залишити сліди на сервері Центру сертифікації (CA).

Цей підхід дозволяє використовувати розширений метод стійкості, мінімізуючи ризик виявлення через менше взаємодії з сервером CA та уникнення створення артефактів, які можуть сповістити адміністраторів про вторгнення.