AD CS Account Persistence
Це невеликий огляд розділів про постійність машин від чудового дослідження з https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf
Розуміння крадіжки активних облікових даних користувача за допомогою сертифікатів – PERSIST1
У сценарії, де користувач може запитати сертифікат, який дозволяє аутентифікацію в домені, зловмисник має можливість запитати та вкрасти цей сертифікат для збереження постійності в мережі. За замовчуванням, шаблон User
в Active Directory дозволяє такі запити, хоча іноді це може бути вимкнено.
Використовуючи інструмент під назвою Certify, можна шукати дійсні сертифікати, які дозволяють постійний доступ:
Це підкреслено, що сила сертифіката полягає в його можливості аутентифікуватися як користувач, якому він належить, незалежно від будь-яких змін пароля, поки сертифікат залишається дійсним.
Сертифікати можна запитати через графічний інтерфейс, використовуючи certmgr.msc
, або через командний рядок за допомогою certreq.exe
. З Certify процес запиту сертифіката спрощено наступним чином:
Після успішного запиту генерується сертифікат разом з приватним ключем у форматі .pem
. Щоб перетворити це у файл .pfx
, який можна використовувати в системах Windows, використовується наступна команда:
.pfx
файл можна завантажити на цільову систему та використовувати з інструментом під назвою Rubeus, щоб запросити квиток для надання квитка (TGT) для користувача, продовжуючи доступ зловмиснику на протязі часу, поки сертифікат є дійсним (зазвичай один рік):
Важне попередження про те, як ця техніка, поєднана з іншим методом, описаним у розділі THEFT5, дозволяє зловмиснику постійно отримувати хеш NTLM облікового запису без взаємодії з Службою підсистеми локальної безпеки (LSASS) та з невищим контекстом, надаючи більш прихований метод для крадіжки облікових даних на довгостроковий період.
Отримання постійної машинної стійкості за допомогою сертифікатів - PERSIST2
Ще один метод передбачає запис машинного облікового запису компрометованої системи для сертифіката, використовуючи типовий шаблон Machine
, який дозволяє такі дії. Якщо зловмисник отримує підвищені привілеї на системі, вони можуть використовувати обліковий запис SYSTEM для запиту сертифікатів, надаючи форму стійкості:
Даний доступ дозволяє зловмиснику аутентифікуватися до Kerberos як обліковий запис машини та використовувати S4U2Self для отримання квитків обслуговування Kerberos для будь-якої служби на хості, ефективно надаючи зловмиснику постійний доступ до машини.
Розширення стійкості через оновлення сертифікатів - PERSIST3
Останній обговорюваний метод передбачає використання строку дії та періоду оновлення шаблонів сертифікатів. Шляхом оновлення сертифіката перед його закінченням зловмисник може зберігати аутентифікацію в Active Directory без необхідності додаткових записів квитків, що може залишити сліди на сервері Центру сертифікації (CA).
Цей підхід дозволяє використовувати розширений метод стійкості, мінімізуючи ризик виявлення через менше взаємодії з сервером CA та уникнення створення артефактів, які можуть сповістити адміністраторів про вторгнення.
Last updated