Active Directory侵入テスト手法

ほとんどのシナリオでは、Windows Server Forestターゲットは hardened ですが、通常、最初のエントリへのアクセスを妨げるEDRやNIPSが存在するためです。

Active Directoryテストの全体的な概念は、あなたが言うように、最初のエントリポイント、つまり足場が証明された後*アクセスを拡張することです。

『Advanced Penetration Testing、3rd Edition』のKali Linuxをマスターするという本は、あなたが求めていることについての1つの素晴らしいリソースです。

ハッカーハンドブック3：ペネトレーションテストの実践ガイド、レッドチームエディション-いくつかのベースラインテクニックと、それらをどのようにまたはどこで進化させるかについてのデモンストレーションのための優れたリソースでもあります。

与えられたサイバーセキュリティ会議には、Active Directoryのテストやいくつかのバリエーションを具体的に教えるトレーニングコースがいくつかあることがわかります（または、たとえばmimikatzだけのクラスだけで、他には何もありませんでした）。これらのコースの多くは独自の方法論を持っていますが、 メソッド は常に同じです。アクセスを取得し、アクセスを維持し、アクセスを拡張します。

アクセスするには、慎重に計画された Pre-ATT＆CK シナリオが一連の（またはチェーンの）戦術で必要であり、それぞれが1つまたは複数の基本的な手法でバックアップされています。これはあなたが尋ねていることではないと確信しているので、私は次に進みます。

アクセスを維持するには、そのPre-ATT＆CKシナリオが時の試練に耐える必要があり、リモートハンドラーに接続するreverse-https/etcペイロードを使用する場合、そのすべてを際立たせる必要はありません。もちろん、いくつかのシナリオでは、ネットワーク内にC2を配置できます。たとえば、ARPデーモン、MS-RPC名前付きパイプ、またはあらゆる種類の秘密チャネルです。ただし、ドメインフロントやBC-SECURITYの Empire forkなどの単純な視界に隠れている他の人は、 JA3/S のような回避策（2019年に人気の検出器）を使用しています。 、 利用可能です。

多くの場合、これには Sites （ADの概念）に含まれないコンピューター（つまり、ADコンピューターオブジェクト）を見つけることが含まれます。これは、完全なEDRスタックがないか、他の例外があるためです。 ITとサイバーセキュリティのスタッフは、コンピューターが存在し、AVや基本機能がインストールされていない、または正しく機能していないことを認識していないようです。 Windows Serverドメインとフォレストの重複も探します。ターゲット環境を探索または把握する必要があります。

『Advanced Infrastructure Penetration Testing』という本には、Active Directoryの悪用に特化した章全体が含まれています。 SPNスキャンのセクションは、1つのPowerShellコマンドsetspn -Q */*で内部のAD調整を大幅に簡素化するという点で独特です。あなたはこの正確な方法でこのデータを取得しないかもしれません（それはすぐに検出を開始するかもしれません-またはそれよりずっと後にハンティング操作中に発見される可能性があるためです）、しかしそれを解析して理解する方法を知る必要があります。 SPNデータは、ゴールドマインをターゲットとするActive Directoryです。

SharePointサイトをターゲットにしていない場合でも、通常、Active Directoryの簡単な成果はSharePointアカウントです（SharePointが置き換えられたものの、レガシーアカウントが残っている場合があります）。ここで、BloodHoundツールを取り巻くテクニックに焦点を当てることができます。

IIS SPNまたはその他の手段で発見された）の単独または異常なインストールがさらに良いです。IISサーバーにペイロードをランディングする任意の手段は、通常は発見されない、クレデンシャルを介した隠しピボット。これを行うためのコマンド（および apppools を一般的に使用するコマンド）は、本 『インターネットインフォメーションサービス（IIS）7.0管理者のポケットコンサルタント』にあります。アプリケーションプールの操作に関するセクション：[drive:]\windows\system32\inetsrv\appcmd list apppool <AppPoolName> /text:*

MS-SQL ServerサービスもSPNにあり、それらに関連付けられているサービス（SAP ECCなど）も表示される場合があります。 PowerUpSQLとPowerSAPペンテストツールを思い出しますが、2年前には10かそこらしかなかったのに、これらのプロジェクトは数百にも上ります。すべてのActive Directoryペンテスト（または簡単に実行できるフローチャート）に適した1つのサイズがない理由は、すべてがターゲット環境に依存しているためです。

上記のapppoolのように、これらの各Microsoft Server Forest Servicesの管理に固有のPowerShellモジュールを試してみてください。たとえば、Get-WebconfigやGet-ApplicationHostなどですが、他にも無数にあります。 MS Exchange Serverにはこれらがたくさんありますが、注意してください！これらのサービスに付属しているツールを探すこともできます。たとえば、Exchange管理センターにはGUIツールがありますが、Webポータルもあります（IPアドレスと/ecp URIを試してみてください）。

Vibe のように、欠けている可能性がある、言及する価値のあるいくつかのポイントツールもあります。この猫の皮をむく方法は本当にたくさんあります。サイバーセキュリティ専門家の軍隊がアイデアを使い果たすことは決してありません。 Azure AD は状況を変えますが、おそらく新しい扉を開きます。それをテストし続け、あなたがそれから望む価値を得るだけです。