AD CS खाता स्थिरता

Reading time: 5 minutes

यह https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf से शानदार शोध के मशीन स्थिरता अध्यायों का एक छोटा सारांश है।

प्रमाणपत्रों के साथ सक्रिय उपयोगकर्ता क्रेडेंशियल चोरी को समझना – PERSIST1

एक परिदृश्य में जहां एक प्रमाणपत्र जो डोमेन प्रमाणीकरण की अनुमति देता है, एक उपयोगकर्ता द्वारा अनुरोध किया जा सकता है, एक हमलावर के पास इस प्रमाणपत्र को अनुरोध करने और चोरी करने का अवसर होता है ताकि नेटवर्क पर स्थिरता बनाए रखी जा सके। डिफ़ॉल्ट रूप से, Active Directory में User टेम्पलेट ऐसे अनुरोधों की अनुमति देता है, हालांकि इसे कभी-कभी अक्षम किया जा सकता है।

Certify नामक एक उपकरण का उपयोग करके, कोई स्थायी पहुंच सक्षम करने वाले मान्य प्रमाणपत्रों की खोज कर सकता है:

Certify.exe find /clientauth

यह उजागर किया गया है कि एक प्रमाणपत्र की शक्ति इस बात में है कि यह उपयोगकर्ता के रूप में प्रमाणित कर सकता है, जिस पर यह निर्भर करता है, किसी भी पासवर्ड परिवर्तन की परवाह किए बिना, जब तक कि प्रमाणपत्र मान्य है।

प्रमाणपत्रों को certmgr.msc का उपयोग करके ग्राफिकल इंटरफेस के माध्यम से या certreq.exe के साथ कमांड लाइन के माध्यम से अनुरोध किया जा सकता है। Certify के साथ, प्रमाणपत्र अनुरोध करने की प्रक्रिया को इस प्रकार सरल बनाया गया है:

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

सफल अनुरोध पर, एक प्रमाणपत्र इसके निजी कुंजी के साथ .pem प्रारूप में उत्पन्न होता है। इसे Windows सिस्टम पर उपयोग करने योग्य .pfx फ़ाइल में परिवर्तित करने के लिए, निम्नलिखित कमांड का उपयोग किया जाता है:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfx फ़ाइल को फिर एक लक्षित प्रणाली पर अपलोड किया जा सकता है और उपयोगकर्ता के लिए एक Ticket Granting Ticket (TGT) का अनुरोध करने के लिए Rubeus नामक एक उपकरण के साथ उपयोग किया जा सकता है, हमलावर की पहुँच को तब तक बढ़ाते हुए जब तक प्रमाणपत्र मान्य है (आमतौर पर एक वर्ष):

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

एक महत्वपूर्ण चेतावनी साझा की गई है कि कैसे यह तकनीक, THEFT5 अनुभाग में वर्णित एक अन्य विधि के साथ मिलकर, एक हमलावर को NTLM हैश को लगातार प्राप्त करने की अनुमति देती है बिना Local Security Authority Subsystem Service (LSASS) के साथ इंटरैक्ट किए, और एक गैर-उन्नत संदर्भ से, दीर्घकालिक क्रेडेंशियल चोरी के लिए एक अधिक छिपा हुआ तरीका प्रदान करती है।

सर्टिफिकेट के साथ मशीन स्थिरता प्राप्त करना - PERSIST2

एक अन्य विधि में एक समझौता किए गए सिस्टम के मशीन खाते के लिए एक सर्टिफिकेट के लिए नामांकन करना शामिल है, डिफ़ॉल्ट Machine टेम्पलेट का उपयोग करते हुए जो ऐसी क्रियाओं की अनुमति देता है। यदि एक हमलावर किसी सिस्टम पर उन्नत विशेषाधिकार प्राप्त करता है, तो वे SYSTEM खाते का उपयोग करके सर्टिफिकेट का अनुरोध कर सकते हैं, जो एक प्रकार की persistence प्रदान करता है:

Certify.exe request /ca:dc.theshire.local/theshire-DC-CA /template:Machine /machine

यह पहुँच हमलावर को मशीन खाते के रूप में Kerberos पर प्रमाणीकरण करने और मेज़बान पर किसी भी सेवा के लिए Kerberos सेवा टिकट प्राप्त करने के लिए S4U2Self का उपयोग करने की अनुमति देती है, जिससे हमलावर को मशीन पर स्थायी पहुँच मिलती है।

प्रमाणपत्र नवीनीकरण के माध्यम से स्थिरता बढ़ाना - PERSIST3

अंतिम विधि में प्रमाणपत्र टेम्पलेट्स की वैधता और नवीनीकरण अवधि का लाभ उठाना शामिल है। एक प्रमाणपत्र को इसकी समाप्ति से पहले नवीनीकरण करके, एक हमलावर Active Directory पर प्रमाणीकरण बनाए रख सकता है बिना अतिरिक्त टिकट नामांकन की आवश्यकता के, जो प्रमाणपत्र प्राधिकरण (CA) सर्वर पर निशान छोड़ सकता है।

यह दृष्टिकोण एक विस्तारित स्थिरता विधि की अनुमति देता है, CA सर्वर के साथ कम इंटरैक्शन के माध्यम से पहचान के जोखिम को कम करता है और ऐसे आर्टिफैक्ट्स के निर्माण से बचता है जो प्रशासकों को घुसपैठ के बारे में सतर्क कर सकते हैं।