在现代防御解决方案的防护下，随着时间的推移，针对活动目录 (AD) 环境的定向及大规模信息枚举行为，被检测到的概率已大幅提升。去年夏天，我们在 X-Force Red 实习期间注意到，FalconForce 团队开发的 SOAPHound 工具正逐渐成为 AD 环境枚举的热门选择。与以往其他 AD 枚举工具直接通过轻量级目录访问协议 (LDAP) 执行枚举不同，该工具通过活动目录网络服务 (ADWS) 采集信息，为 AD 枚举技术带来了全新视角。我们希望进一步拓展这种技术手段的应用场景，最终通过开发一个基于 Python 的可移植库，以及一款利用该库的定制化工具（我们将其命名为 SoaPy），简化了 Linux 主机与 ADWS 的交互。
活动目录网络服务 (ADWS) 在活动目录域控制器 (DC) 上默认启用，监听 9389 端口，被多种微软系统管理工具所依赖，例如活动目录管理中心 (ADAC) 和 PowerShell 中的活动目录模块。客户端通过 XML 格式的 SOAP（简单对象访问协议）消息与 ADWS 进行通信。这些消息经 Web 服务解析后，由域控制器上的本地 LDAP 服务执行实际交互。这一机制允许查询用户在已分配 AD 权限的前提下，完成常规的 AD 交互操作（包括对象的读写），且无需直接与 LDAP 服务建立绑定连接。此外，由于所有连接均通过本地 ADWS 服务转发至 LDAP，Windows 事件日志中会将此类交互记录为域控制器本地的自我连接行为。
图 1 - 客户端通过 ADWS 与 LDAP 交互
ADWS 整合了一系列通过 Web 服务端点暴露的协议。每个端点均具备唯一标识的统一资源标识符 (URI)，且前缀绑定类型为“net.tcp”。该服务支持两种身份验证机制：其一为“Windows 集成身份验证”，基于名为 NNS（.NET 协商流协议）的 Windows 原生协议实现；其二为“用户名/密码”机制，通过传输层安全协议 (TLS) 完成身份验证。不同的 Web 服务端点为 ADWS 提供了差异化的功能支持。例如，“枚举端点”可用于查询和读取 LDAP 数据，“资源端点”可用于写入 LDAP 数据。Web 服务端点的完整列表如下所示。
图 2 - 可用的 ADWS 交互端点
在我们开发该库之前，与 ADWS 的交互只能通过微软官方工具（如远程服务器管理工具 RSAT）或基于.NET 框架开发的工具实现，这本质上限制了该协议仅能在 Windows 主机上使用。而实现从 Linux 主机对 ADWS 服务的交互能力，能够为安全从业人员提供更多与活动目录进行交互的可选方案。
这一技术空白促使我们开发了 SoaPy 工具，这是一款可在 Linux 主机上通过 ADWS 实现 LDAP 交互的工具。开发该工具需攻克诸多挑战：一方面，用于与 ADWS 交互的底层协议此前尚未有 Python 实现版本；另一方面，这类协议的相关文档相对匮乏，进一步增加了开发难度，最终我们不得不通过源码分析与数据包捕获分析相结合的方式，对这些协议进行逆向工程解析。
为实现与 ADWS 的有效通信，我们最终在 Python 中完成了多项技术的落地实现，包括 NNS（.NET 协商流协议）、NMF（.NET 消息帧协议）以及 NBFSE（.NET 二进制格式：SOAP 扩展协议）。这些协议的实现代码，加上工具其余功能模块，总计约 5000 行代码。由于通过 ADWS 实现 LDAP 交互需要涉及多个相对冷门的协议层，仅完成“通过 ADWS 发起简单查询”这一基础功能，就耗费了我们数月的开发时间。
图 3 - 通过 ADWS 进行交互的协议栈
我们团队为实现 ADWS 交互所需开发的首个协议层是 NMF（.NET 消息帧协议），该协议的规范文档可参见此处。该协议定义了消息的帧封装规则，主要用于对 SOAP 消息进行帧化处理。NMF 包含一个用于建立会话的初始握手流程，客户端发送的首个消息为 NMF 预处理消息。该消息包含以下核心内容：操作模式（在 ADWS 场景下始终为双向模式、路由记录——通过该字段可指定待交互的服务器端 ADWS Web 端点，以及数据传输所使用的编码格式。此类消息结构的代码示例详见图 4。据我们研究，ADWS 仅支持一种编码格式，即下文即将提及的 NBFSE。如下所示，路由记录的格式始终以“net.tcp://”为前缀，其后依次为目标服务器主机名、ADWS 服务端口，以及指定的 Web 端点路径。当从 LDAP 请求数据时，我们需使用“枚举端点”。
图4 – NMF 预处理消息结构
在发送 NMF 预处理消息之后，客户端会发送一条 NMF 升级请求消息 (0x9)，请求允许通过 NNS 身份验证升级会话，并启动 NNS 握手流程。若服务器允许该请求，会返回一条 NMF 升级响应消息 (0xA) 作为应答。
NNS 的功能是为通用安全服务应用程序接口 (GSS-API) 数据提供帧封装，并通过简单受保护 GSS-API 协商机制 (SPNEGO) 来协商身份验证协议，即决定采用 NTLM 协议还是 Kerberos 协议完成身份验证。此外，NNS 还为通过 NTLM 或 Kerberos 协议进行的身份验证提供帧封装功能。NNS 的官方技术规范可通过此链接查阅：此处。以下示例将重点介绍基于 NNS 的 NTLM 身份验证流程。
接下来，客户端会发送 NNS 握手消息以启动身份验证流程。该消息具体包含一个承载身份验证令牌的认证载荷，我们通过 Impacket 的 SPNEGO 库生成该令牌。
图 5 – NNS 握手结构
随后，服务器返回一条 NNS NTLMSSP_Challenge 消息，其中包含一个挑战值，客户端需利用该挑战值构建 NTLMSSP_AUTH 响应（作为挑战-应答机制的核心环节），并将其发送回服务器以完成身份验证。身份验证成功后，服务器会返回最终的 NNS 握手消息 (0x15)，用于告知客户端认证状态。值得注意的是，我们通过测试发现 ADWS 并不存在 NTLM 中继攻击漏洞，原因是服务器端强制要求对消息进行签名。
当 NMF 连接成功升级为 NNS 且客户端完成服务器身份验证后，客户端会发送 NMF 预处理结束消息 (0xC)，告知服务器预处理阶段已完成。服务器则返回 NMF 预处理确认消息 (0xB)，确认预处理流程结束，此时客户端即可开始向服务器发送数据。
如前所述，发送至服务器的数据需按照 NBFSE 格式进行结构化处理（该格式的技术规范可通过此链接查阅：此处）。NBFSE 用于对 SOAP 数据进行编码或序列化，以便通过 NMF 协议传输。NBFSE 是 NBFS（.NET 二进制格式：SOAP 数据结构）的扩展，而 NBFS 本身又是 NBFX（.NET 二进制格式：XML 数据结构）的扩展，这意味着我们需要实现这三种 XML 格式化规范。NBFSE 要求使用带内字典执行数据压缩流程，但我们发现可通过发送包含空带内字典的消息来绕过该要求。
完成 NBFSE 格式的实现后，我们的研究重点转向了客户端完成身份验证后与 ADWS 的交互机制。最初，我们的目标是实现 LDAP 查询功能，因此首先开发的数据消息是 ADWS 枚举消息。该消息包含两部分核心内容：一是服务器用于查询本地 LDAP 服务的 LDAP 查询语句，二是每个对象需返回的 LDAP 属性列表。此外，每条枚举消息都会明确指定“枚举”操作和“枚举”端点。需要注意的是，从这一阶段开始，所有发送的消息均为完整的 SOAP 数据消息，以下为枚举消息的示例：
图 6 – ADWS 枚举消息
服务器收到枚举消息后，会返回一条包含会话字符串的响应，该字符串称为“枚举上下文”，以通用唯一标识符 (UUID) 格式呈现。随后，我们可在“拉取消息”中携带此枚举上下文，从服务器拉取 LDAP 查询结果。以下为拉取消息的示例，其中明确指定了对应的“拉取”操作和“枚举上下文”定义。
图 7 – ADWS 拉取消息
客户端发送该消息后，服务器会返回 SOAP 格式的 LDAP 信息，接收端客户端可对其进行进一步解析。
客户端与服务器之间的完整消息交互流程如下所示。
图 8 – ADWS 客户端与服务器的交互
SoaPy 是我们自研的一款 Python 工具，该工具基于上述底层协议库开发，可针对远程 ADWS 实例执行 LDAP 侦察与修改操作。工具内置了一系列预构建查询语句，适用于常见的 AD 侦察场景——例如枚举配置了“servicePrincipalName”属性的账户、识别配置了约束型委派和非约束型委派的账户。此外，SoaPy 还提供自定义查询参数，支持操作人员按需编写自定义查询语句；同时具备写入 LDAP 对象“msDs-AllowedToActOnBehalfOfOtherIdentity”属性的功能，可用于利用资源型约束委派 (RBCD) 漏洞实施攻击。
Impacket 套件中大部分常用示例脚本的使用规范均被沿用至 SoaPy 中，因为该项目的初衷就是打造一款能与 Impacket 套件高效兼容的工具。借助 Impacket 套件，我们可以轻松对接 NTLM、Kerberos 等文档完善的 Active Directory 身份验证协议；但由于当前 Impacket 项目并未支持 NNS、NMF 等协议，因此我们在 SoaPy 中实现了这些新增协议，并将其扩展整合到 Impacket 体系中。
举例来说，只需传入“–spns”参数，SoaPy 即可用于检索配置了“servicePrincipalName”属性的用户账户：
图 9 – 使用 SoaPy 枚举服务帐户
在上述演示中，工具仅返回了一条结果，即“mssql_svc”用户账户。目前，对于返回的对象，工具仅展示默认的属性子集；但在后续版本中，我们计划支持操作人员自定义查询需返回的特定属性。
SoaPy 已作为开源工具发布于 IBM X-Force Red 官方 GitHub 仓库，获取地址：https://github.com/xforcered/SoaPy。
收集 ADWS 相关日志以复现这些协议的过程颇具挑战性，经排查，唯一可用于获取协议相关信息的日志机制为 Windows 通信基础 (WCF) 日志记录（通过 ADWS 服务配置文件启用）和.NET 日志记录。该工具的大部分开发工作，是通过观察 PowerShell Active Directory 模块生成的网络流量、分析 WCF 日志，以及研读协议栈中各协议的技术规范逐步完成的。
WCF 日志记录可通过修改配置文件“C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config”启用。具体配置细节详见 Microsoft 官方文档。
LDAP 日志记录是一种枚举检测方法，用于收集 Active Directory（AD）环境中 LDAP 交互的详细补充信息。该日志返回的关键信息包括：发起查询的客户端地址、查询来源计算机、所使用的 LDAP 筛选字符串、指定返回的属性，以及用于向 LDAP 服务器身份验证的用户上下文。
以下为一个示例：在使用 SoaPy 工具执行 Active Directory 枚举操作后，启用了 LDAP 日志记录的 Windows 事件查看器截图。
关于 LDAP 日志的启用方法，可通过此链接查阅详细说明。
图 10 - 通过 ADWS 执行枚举操作的事件查看器
检测来自 SoaPy 的枚举行为时，常规的 LDAP 侦察检测方法依然适用。尽管客户端并未直接与 LDAP 服务交互，但 ADWS 的中转交互并未隐藏所有有用信息。恶意行为特征仍会由 ADWS 传递至 LDAP 服务，包括 LDAP 筛选器、属性选择列表以及用于身份验证的源用户账户。上述截图展示了一个用于枚举可 Kerberoast 账户的常见可疑 LDAP 查询。此前部署的 LDAP 检测规则仍会被该事件触发，但由于查询是通过 ADWS 发起的，日志中会显示源计算机为本地域控制器。同时，日志还会记录到“域用户”组中的低权限用户从域控制器发起了查询，这一行为在其他场景中极为异常，因为访问域控制器通常需要特定权限，而通过 ADWS 实现的间接 LDAP 访问使得低权限用户得以完成该操作。此外，系统访问控制列表 (SACL) 陷阱在 SoaPy 使用场景中依然有效，可对特定对象的访问行为进行日志记录，帮助防御者快速发现可疑活动。
尽管检测来自 SoaPy 的枚举行为与检测直接 LDAP 枚举的方式相似，但在事件响应流程中定位枚举行为的源头时，会面临额外的复杂性。这是因为事件日志中记录的源计算机和 IP 地址始终是域控制器。一种定位潜在枚举源头的方法是，将执行枚举操作的用户与环境中的活跃会话进行关联分析。不过，这种方法仅在用于执行后渗透操作的用户上下文与执行枚举的用户上下文一致时才有效，并非在所有场景下都完全可靠。其原因在于，攻击者可能通过后渗透工具将流量代理至目标环境，并使用窃取的凭据进行身份验证，导致用户上下文与实际攻击源头脱节。
基于上述考量，针对 LDAP 侦察行为的常规告警机制依然能有效提醒防御者关注环境中的异常行为，并可为执行查询操作的用户对象提供可靠的入侵指标 (IOC)。不过，要确定该行为的源主机，可能需要进行额外的审查分析。
我们计划持续维护并迭代优化代码库，新增功能与易用性改进项包括：细粒度属性收集的扩展选项、自定义属性写入功能，以及 ADCS 证书枚举能力。我们的核心目标之一，仍是通过 GitHub Pull Request 的方式，将底层依赖库与 SoaPy 工具整合至 Impacket 项目中。我们认为，这套用于与 NNS、NMF 等协议交互的后端逻辑，或可为未来开发其他基于此类协议的服务交互工具的开发者提供参考；主要原因是，据我们所知，此前尚无实现这些协议交互的 Python 代码。
活动目录网络服务 (ADWS) 自 Windows Server 2008 起便成为域控制器上默认启用的服务，该服务支持与 LDAP 进行交互，可代表用户执行查询操作并提供查询代理功能。我们发现此前无法通过 Linux 主机与 ADWS 建立交互，这一需求缺口促使我们开发了 SoaPy 工具。SoaPy 的开发过程伴随着诸多挑战：由于 Microsoft 提供的协议规范支持有限，我们需自主实现定制化的协议交互逻辑。同时，作为一种相比直接访问 LDAP 服务更隐蔽的枚举方式，SoaPy 也带来了独特的检测考量要点。
我们期望 SoaPy 能为基于 Linux 主机与 ADWS（或任何使用其底层交互协议的服务）建立通信奠定基础。将我们的代码合并至 Impacket 是核心目标之一，这既能确保代码的广泛传播与可获取性，也能推动社区以本项目为起点开展进一步的开发工作。