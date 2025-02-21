Com o tempo, a enumeração direcionada e em grande escala de ambientes do Active Directory (AD) tornaram-se cada vez mais detectadas devido às soluções defensivas modernas. Durante nosso estágio no X-Force Red no verão passado, percebemos que o SOAPHound da FalconForce estava se tornando popular para enumerar ambientes Active Directory. Essa ferramenta trouxe uma nova perspectiva para a enumeração do Active Directory, realizando a coleta via Active Directory Web Services (ADWS) em vez de diretamente por meio do Lightweight Directory Access Protocol (LDAP), como outras ferramentas de enumeração do AD faziam no passado. Estávamos interessados em expandir os casos de uso dessa troca, o que eventualmente nos levou a simplificar a interação com ADWS de hosts Linux por meio do desenvolvimento de uma biblioteca portátil escrita em Python e uma ferramenta personalizada para utilizar essa biblioteca que chamamos de SoaPy.
O ADWS é habilitado por padrão em controladores de domínio (DCs) do Active Directory na porta 9389 e é utilizado por uma variedade de ferramentas de administração de sistemas da Microsoft, como o Active Directory Administrative Center (ADAC) e o módulo do Active Directory no PowerShell. Os clientes se comunicam com o ADWS usando mensagens SOAP (Simple Object Access Protocol) no formato XML. Essas mensagens são analisadas pelo serviço web, que em seguida interage com o serviço LDAP local no controlador de domínio. Isso permite a interação típica do AD (incluindo leitura e gravação em objetos) usando as permissões do AD atribuídas ao usuário que faz a consulta sem exigir uma vinculação direta ao próprio serviço LDAP. Além disso, à medida que as conexões são passadas do serviço ADWS local para o LDAP, todas as interações realizadas por meio desse mecanismo são exibidas como o controlador de domínio local conectando-se a si mesmo nos logs de eventos do Windows.
Figura 1 - interação do cliente com o LDAP por meio de ADWS
O ADWS abriga uma coleção de protocolos que são expostos via endpoint de serviços da web. Cada endpoint tem um Uniform Resource Identifier (URI) de identificação exclusiva e é precedido por um tipo de ligação "net.tcp" . Dois mecanismos de autenticação são compatíveis com a interação. Incluindo autenticação "Integrada pelo Windows" para utilizar um protocolo nativo do Windows chamado NNS (.NET NegociateStream Protocol), bem como o mecanismo "Nome de usuário/Senha" usado para autenticação sobre Segurança da Camada de Transporte (TLS). Pontos finais diferentes fornecem funcionalidades diferentes do ADWS. Por exemplo, o endpoint "Enumeration" pode ser usado para consultar e ler dados LDAP, e o endpoint "Resource" pode ser usado para gravar dados LDAP. A lista completa de endpoints de serviço web é mostrada abaixo.
Figura 2 - endpoints disponíveis para interação com o ADWS
Antes da criação de nossa biblioteca, a interação com o ADWS só podia ser feita por meio de ferramentas desenvolvidas pela Microsoft, como o RSAT (Remote Server Administration Tools), e ferramentas criadas com o .NET, o que essencialmente limitava o uso do protocolo a hosts Windows. A capacidade de interagir com esse serviço a partir de um host Linux pode oferecer aos profissionais de segurança opções adicionais para interação com o Active Directory.
Essa lacuna nos motivou a criar o SoaPy, uma ferramenta para interagir com LDAP sobre ADWS de um host Linux. A criação dessa ferramenta teve vários desafios a serem superados, pois os protocolos subjacentes usados para interagir com o ADWS ainda não haviam sido implementados em Python. A falta relativa de documentação sobre esses protocolos complicou ainda mais as coisas e resultou em nós fazermos engenharia reversa deles por meio da análise do código-fonte e do exame das capturas de pacotes.
Algumas das tecnologias que acabamos implementando em Python para nos comunicarmos com sucesso sobre o ADWS incluem NNS (.NET NegnegociateStream Protocol), NMF (.NET Message Framing Protocol) e NBFSE (.NET Binary Format: SOAP Extension). Essas implementações, com o restante de nossa ferramenta, totalizam cerca de 5.000 linhas de código. Devido ao número de camadas de protocolo relativamente obscuras necessárias para interagir com o LDAP sobre ADWS, foram necessários vários meses de trabalho antes mesmo de poder fazer uma consulta simples sobre ADWS.
Figura 3 - stack de protocolos para interação com o ADWS
A primeira camada de protocolo que nossa equipe foi obrigada a projetar para interagir com o ADWS foi o NMF, a especificação deste protocolo pode ser encontrada aqui. Esse protocolo define como as mensagens devem ser enquadradas e é usado principalmente para enquadrar mensagens SOAP. O NMF inclui um handshake inicial usado para estabelecer a sessão, com a primeira mensagem enviada do cliente sendo a mensagem NMF Preamble. Essa mensagem inclui o modo de operação (sempre o modo duplex no caso do ADWS), um registro via, que nos permite definir o endpoint ADWS designado no servidor para interagir e, por fim, o formato de codificação a ser usado na transferência de dados. Um exemplo de código mostrando a estrutura dessas mensagens é mostrado na Figura 4. Até onde entendemos, o único formato de codificação compatível é o NBFSE, que será abordado posteriormente. Como visto abaixo, o formato de registros via é sempre anexado com "net.tcp://", seguido do nome do host desejado, da porta do serviço ADWS e, por fim, do endpoint da web especificado. Ao solicitar dados do LDAP, queremos usar o endpoint "Enumeration".
Figura 4 - estrutura Preamble do NMF
Após a mensagem de Preamble do NMF, o cliente envia uma mensagem de solicitação de atualização do NMF (0x9), solicitando permissão para atualizar a sessão usando a autenticação NNS e iniciar o handshake de NNS. Se o servidor permitir essa solicitação, ele responderá com uma mensagem de resposta de atualização NMF (0xA).
Funções de NNS para fornecer enquadramento para dados de interface de programa de aplicação de serviço de segurança genérica (GSS-API) e utiliza simples e protegido GSS-API Negotiation (SPNEGO) para negociar se deve usar os protocolos de autenticação NTLM ou Kerberos. Além disso, o NNS também oferece enquadramento para autenticação via NTLM ou Kerberos. A especificação para NNS pode ser encontrada aqui. O exemplo abaixo concentra-se na autenticação usando NTLM sobre NNS.
Em seguida, um handshake NNS é enviado pelo cliente para iniciar o processo de autenticação. Ela inclui especificamente uma carga de autenticação contendo tokens de autenticação, que geramos usando a biblioteca SPNEGO da Impacket.
Figura 5 - estrutura de handshake do NNS
Em seguida, o servidor envia de volta uma mensagem NNS NTLMSSP_Challenge, que contém um desafio usado para construir o NTLMSSP_AUTH como um desafio-resposta a ser enviado de volta ao servidor para autenticação. Após a autenticação bem-sucedida, o servidor envia de volta uma mensagem final de handshake NNS (0x15) indicando o status da autenticação. Algo digno de nota é que rapidamente descobrimos que o ADWS não era vulnerável a ataques de retransmissão NTLM devido à necessidade de assinatura de mensagens no lado do servidor.
Após a conexão do NMF ser atualizada com sucesso para o NNS e o cliente ter sido autenticado no servidor, o cliente envia a mensagem de término de Preamble do NMF (0xC), informando ao servidor que o Preamble foi concluído. O servidor responde com uma mensagem de confirmação de Preamble do NMF (0xB), reconhecendo que o Preamble foi concluído e que o cliente agora pode enviar dados.
Conforme mencionado anteriormente, os dados enviados para o servidor precisam ser estruturados no formato NBFSE, conforme definido pela especificação aqui. O NBFSE é usado para codificar ou serializar dados SOAP a serem enviados por NMF. NBFSE é uma extensão do NBFS (.NET Binary Format: SOAP Data Structure), que por si só é uma extensão do NBFX (.NET Binary Format: XML Data Structure), exigindo que implementemos todas as três especificações de formatação XML. O NBFSE exige o uso de um dicionário em banda para procedimentos de redução de dados, mas descobrimos que esse requisito pode ser ignorado enviando mensagens com um dicionário em banda em branco.
Após a implementação do NBFSE, nosso foco mudou para entender como um cliente interage com o ADWS após a conclusão do processo de autenticação. Originalmente, queríamos consultar o LDAP, então a primeira mensagem de dados que implementamos foi a mensagem Enumeração do ADWS. Essa mensagem inclui a consulta do LDAP que deve ser usada pelo servidor para consultar o serviço LDAP local, bem como uma lista de atributos do LDAP que devem ser retornados para cada objeto. Além disso, cada mensagem de enumeração define a ação "Enumerate" e o endpoint "Enumeration". Observe que cada mensagem deste ponto em diante é uma mensagem de dados SOAP completa; por exemplo, uma mensagem de Enumeration é mostrada abaixo:
Figura 6 - mensagem de Enumeration do ADWS
Ao receber a mensagem de enumeração, o servidor responde com uma mensagem contendo uma cadeia de caracteres de sessão, chamada de contexto de enumeração na forma de um Universally Unique Identifier (UUID). Podemos, então, usar esse contexto de enumeração em uma mensagem de pull para extrair resultados de LDAP do servidor. A mensagem de pull é mostrada abaixo contendo uma ação apropriada de "Pull" e uma definição de Contexto de enumeração.
Figura 7 - mensagem ADWS Pull
Depois que essa mensagem for enviada ao servidor, o servidor responderá com informações do LDAP no formato SOAP, que podem então ser analisadas ainda mais pelo cliente recebimento.
A interação completa da mensagem entre o cliente e o servidor é mostrada abaixo.
Figura 8 - interação cliente-servidor do ADWS
O SoaPy é uma ferramenta Python que criamos e que usa essas bibliotecas de protocolos subjacentes para executar ações de reconhecimento e modificação do LDAP em instâncias remotas do ADWS. Ele inclui uma coleção de consultas criadas previamente usadas para ações comuns de reconhecimento do AD, como enumerar contas com o conjunto de atributos "servicePrincipalName" e identificação de contas configuradas para delegação restrita e irrestrita. O SoaPy também inclui um sinalizador para consultas personalizadas à escolha do operador, bem como a opção de gravar no atributo "msDs-AllowedToActOnBehalfOfOtherIdentity" em objetos LDAP para exploração da Resource-Based Constrained Delegation (RBCD).
A maioria das convenções comuns de uso de scripts de exemplo de impacte são transportadas para o SoaPy, já que nosso objetivo original para este projeto era criar uma ferramenta que pudesse se sobrepor efetivamente ao pacote Impacket. A utilização do pacote Impacket tornou a interação com protocolos de autenticação bem documentados do Active Directory, como NTLM e Kerberos, bastante fácil, mas como o projeto atual da Impacket não suportava NNS, NMF etc., estendemos o projeto com os protocolos adicionais que implementamos no SoaPy.
Por exemplo, o SoaPy pode ser usado para recuperar contas de usuário com o atributo "servicePrincipalName" definido passando o sinalizador "–spns":
Figura 9 - enumeração de contas de serviço utilizando o SoaPy
Na demonstração acima, um único resultado é retornado – o usuário "mssql_svc". Atualmente, apenas um subconjunto padrão de atributos é exibido para objetos retornados, mas, no futuro, gostaríamos de permitir que o operador personalize atributos específicos a serem retornados pela consulta.
O SoaPy está disponível como ferramentas de código aberto na página oficial do IBM X-Force Red GitHub, em https://github.com/xforcered/SoaPy.
A coleta de logs do ADWS para recriar esses protocolos se mostrou difícil, pois os únicos mecanismos de registro identificados para reunir informações sobre o protocolo foram o registro do Windows Communication Foundation (WCF) (habilitado por meio do arquivo de configuração do serviço ADWS) e o registro .NET. A maior parte do processo de desenvolvimento foi feita por meio da observação do tráfego de rede gerado pelo módulo Active Directory do PowerShell, da revisão do registro do WCF e da leitura de cada especificação de protocolo na stack de protocolos.
O registro do WCF pode ser habilitado modificando “C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config”. Os detalhes da configuração estão detalhados na documentação oficial da Microsoft.
Boletim informativo do setor
Mantenha-se atualizado sobre as tendências mais importantes (e intrigantes) do setor em IA, automação, dados e muito mais com o boletim informativo Think. Consulte a Declaração de privacidade da IBM.
Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas inscrições ou cancelar a inscrição aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.
O registro do LDAP é um método de detecção de enumeração usado para reunir informações adicionais sobre detalhes das interações do LDAP em ambientes do Active Directory. Algumas das informações importantes retornadas do registro incluem o endereço do cliente que iniciou a consulta, o computador de onde a consulta se origina, a string de filtro do LDAP usada, atributos selecionados para retorno e, finalmente, o contexto do usuário usado para autenticação no servidor LDAP.
Como exemplo, a captura de tela a seguir é do Windows Event Viewer com o registro LDAP habilitado após realizar a enumeração do Active Directory com SoaPy.
Informações sobre como ativar o registro LDAP podem ser encontradas aqui.
Figura 10 - perspectiva do Event Viewer de enumeração por meio do ADWS
Os métodos de detecção de LDAP comuns ainda se aplicam ao detectar enumerações de SoaPy. Embora o cliente não esteja interagindo diretamente com o serviço LDAP, a interação do ADWS não oculta tudo o que é útil. Indicadores maliciosos ainda são passados para o serviço LDAP pelo ADWS, incluindo o filtro do LDAP, a seleção de atributos e a conta de usuário de origem que forneceu a autenticação. A captura de tela acima exibe uma consulta do LDAP suspeita comum usada para enumerar contas Kerberoastable. As detecções do LDAP implementadas anteriormente ainda serão disparadas a partir desse evento, embora, como a consulta foi feita em relação ao ADWS, o log mostrará um computador de origem de um controlador de domínio local. O log também mostrará um usuário de baixo privilégio no grupo "Usuários do domínio" tendo realizado uma consulta do DC devido ao acesso do LDAP indireto por meio do ADWS, o que é incomum em qualquer outro cenário, dadas as permissões necessárias para acessar o DC. Além disso, os canários da Lista de Controle de Acesso do Sistema (SACL) ainda são eficazes no registro de acesso a objetos específicos durante o uso do SoaPy, alertando rapidamente os defensores sobre atividades suspeitas.
Embora a detecção da enumeração pelo SoaPy seja semelhante à detecção da enumeração direta do LDAP, surge complexidade adicional ao encontrar a fonte da enumeração como parte dos procedimentos de resposta a incidentes. Isso se deve ao fato de o computador de origem e o endereço IP no evento serem sempre o DC. Uma maneira de encontrar a fonte potencial de enumeração seria correlacionar o usuário que executa a enumeração com as sessões ativas no ambiente. Embora isso possa ser eficaz se o contexto do usuário que está sendo usado para operar o recurso pós-invasão for o mesmo que o contexto do usuário que realiza a enumeração, essa nem sempre é uma abordagem completamente eficaz. Isso se deve à possibilidade de o recurso de invasão ser usado para proxy de tráfego no ambiente e fornecer autenticação usando credenciais roubadas.
Considerando essas considerações, os alertas típicos para o reconhecimento baseado em LDAP ainda devem ser eficazes em alertar os defensores sobre a presença de comportamento anômalo no ambiente e podem fornecer um sólido Indicator-of-Compromise (IOC) para o objeto do usuário usado para executar o consulta. No entanto, eles podem exigir análises adicionais para determinar o hospedeiro de origem da ação.
Pretendemos manter nossa base de código e continuar a melhorá-la enquanto adicionamos novas funcionalidades e melhorias na qualidade de vida, incluindo opções adicionais para coleta refinada de atributos, escrita de atributos personalizados e enumeração de certificados ADCS. Integrar nossas bibliotecas subjacentes e SoaPy ao Impacket na forma de uma solicitação pull do GitHub ainda é uma meta para nós. Sentimos que nossa interação de back-end para interagir com NNS, NMF, etc. pode ser útil para futuros desenvolvedores de ferramentas que desejam interagir com quaisquer outros serviços utilizando esses protocolos, principalmente porque, pelo nosso conhecimento, o código Python para interagir com esses protocolos não existia anteriormente.
O Active Directory Web Services, ou ADWS, é um serviço habilitado por padrão nos controladores de domínio desde o Windows Server 2008 e nos permite interagir com o LDAP, fazer consultas em nosso nome e fazer nossas consultas por proxy. Percebemos que a interação com o ADWS anteriormente não era possível por meio de um host Linux, o que nos motivou a criar o SoaPy. O SoaPy veio com suas próprias dificuldades durante o desenvolvimento, exigindo de nós a criação de implementações de protocolo personalizadas com pouca assistência das especificações da Microsoft. O SoaPy também tem suas próprias considerações de detecção, sendo um método significativamente mais furtivo de enumeração LDAP em vez de interagir diretamente com o serviço LDAP.
Esperamos que o SoaPy estabeleça a base para interagir com o ADWS em um host Linux ou qualquer serviço que utilize os protocolos subjacentes necessários para interação. É um objetivo importante mesclar nosso código ao Impacket, ajudando a garantir que nosso código seja generalizado e acessível, enquanto incentiva a comunidade a usar nosso projeto como um ponto de partida para um desenvolvimento adicional.