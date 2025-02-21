Im Laufe der Zeit wurden sowohl gezielte als auch groß angelegte Aufzählungen von Active Directory (AD)-Umgebungen aufgrund moderner Abwehrlösungen immer häufiger erkannt. Während unseres Praktikums bei X-Force Red im vergangenen Sommer stellten wir fest, dass FalconForces SOAPHound für die Enumeration von Active Directory-Umgebungen immer beliebter wurde. Dieses Tool brachte eine neue Perspektive auf die Active Directory-Aufzählung, indem es die Sammlung über Active Directory Web Services (ADWS) statt direkt über das Lightweight Directory Access Protocol (LDAP) wie andere Active Directory-Aufzählungswerkzeuge in der Vergangenheit durchführte. Wir waren daran interessiert, die Anwendungsfälle dieses Handwerks zu erweitern, was uns schließlich dazu veranlasste, die Interaktion mit ADWS von Linux-Hosts durch die Entwicklung einer portablen Bibliothek in Python und eines benutzerdefinierten Tools zur Nutzung dieser Bibliothek zu vereinfachen, das wir SoaPy nannten.
ADWS ist standardmäßig auf Active Directory Domain Controllers (DCs) am Port 9389 aktiviert und wird von verschiedenen Microsoft-Systemadministrationstools genutzt, wie dem Active Directory Administration Center (ADAC) und dem Active Directory-Modul innerhalb von PowerShell. Clients kommunizieren mit ADWS über SOAP-Nachrichten (Simple Object Access Protocol) im XML-Format. Diese Nachrichten werden vom Webdienst analysiert, der dann mit dem lokalen LDAP-Dienst auf dem Domänencontroller interagiert. Dies ermöglicht eine typische AD-Interaktion (einschließlich Lesen und Schreiben von Objekten) unter Verwendung der dem absuchenden Benutzer zugewiesenen AD-Berechtigungen, ohne dass eine direkte Bindung an den LDAP-Dienst erforderlich ist. Außerdem werden bei der Weitergabe von Verbindungen vom lokalen ADWS-Dienst an LDAP alle Interaktionen, die über diesen Mechanismus durchgeführt werden, als die Verbindung des lokalen Domänencontrollers in den Windows-Ereignisprotokollen angezeigt.
Abbildung 1 – Client-Interaktion mit LDAP über ADWS
ADWS enthält eine Sammlung von Protokollen, die über Endgeräte zugänglich sind. Jeder Endpunkt hat einen eindeutigen Uniform Resource Identifier (URI) und beginnt mit einem „net.tcp“ Bindungstyp. Für die Interaktion werden zwei Authentifizierungsmechanismen unterstützt. Dies umfasst die „Windows Integrated“-Authentifizierung zur Verwendung eines Windows-eigenen Protokolls namens NNS (.NET NegotiateStream Protocol) sowie den „Benutzername/Passwort“-Mechanismus, der zur Authentifizierung über Transport Layer Security (TLS) verwendet wird. Unterschiedliche Endgeräte bieten unterschiedliche Funktionen von ADWS. Beispielsweise kann der Endpunkt „Enumeration“ verwendet werden, um LDAP-Daten abzufragen und zu lesen, und der Endpunkt „Resource“ kann verwendet werden, um LDAP-Daten zu schreiben. Die vollständige Liste der Webservice-Endpunkte ist unten dargestellt.
Abbildung 2 – Verfügbare Endgeräte für die ADWS-Interaktion
Vor der Erstellung unserer Bibliothek konnte die Interaktion mit ADWS nur über von Microsoft entwickelte Tools wie RSAT (Remote Server Administration Tools) und mit .NET erstellte Tools erfolgen, was die Nutzung des Protokolls im Wesentlichen auf Windows-Hosts beschränkte. Die Möglichkeit, mit diesem Dienst von einem Linux-Host aus zu interagieren, könnte Sicherheitsexperten zusätzliche Optionen für die Interaktion mit Active Directory bieten.
Diese Lücke motivierte uns, SoaPy zu entwickeln, ein Tool zur Interaktion mit LDAP über ADWS von einem Linux-Host. Die Entwicklung dieses Tools war mit einer Reihe von Herausforderungen verbunden, da die zugrunde liegenden Protokolle für die Interaktion mit ADWS noch nicht in Python implementiert worden waren. Der relative Mangel an Dokumentation zu diesen Protokollen machte die Sache noch komplizierter und führte dazu, dass wir sie sowohl durch Quellcode-Analyse als auch durch die Untersuchung von Paketaufzeichnungen zurückentwickeln mussten.
Zu den Technologien, die wir schließlich in Python implementiert haben, um erfolgreich über ADWS zu kommunizieren, gehören NNS (.NET NegotiateStream Protocol), NMF (.NET Message Framing Protocol) und NBFSE (.NET Binary Format: SOAP Extension). Diese Implementierungen umfassen zusammen mit dem Rest unseres Tools insgesamt rund 5.000 Codezeilen. Aufgrund der Vielzahl relativ undurchsichtiger Protokollschichten, die für die Interaktion mit LDAP über ADWS erforderlich sind, dauerte es mehrere Monate, bis überhaupt eine einfache Abfrage über ADWS möglich war.
Abbildung 3 – Protokoll-Stack für die Interaktion mit ADWS
Die erste Protokollschicht, die unser Team für die Interaktion mit ADWS entwickeln musste, war NMF; die Spezifikation für dieses Protokoll ist hier zu finden. Dieses Protokoll definiert, wie Nachrichten formatiert werden sollen und wird hauptsächlich für die Formatierung von SOAP-Nachrichten verwendet. NMF beinhaltet einen initialen Handshake zur Einrichtung der Sitzung, wobei die erste vom Client gesendete Nachricht die NMF-Präambelnachricht ist. Diese Nachricht enthält den Betriebsmodus (im Fall von ADWS immer Duplex-Modus), einen Via-Datensatz, der es uns ermöglicht, den zugewiesenen ADWS-Endgerät auf dem Server einzustellen, mit dem wir interagieren, und schließlich das Kodierungsformat für den Datentransfer. Ein Codebeispiel, das die Struktur dieser Nachrichten veranschaulicht, ist in Abbildung 4 dargestellt. Unseres Wissens wird ausschließlich das Kodierungsformat NBFSE unterstützt, worauf wir später noch eingehen werden. Wie unten ersichtlich, wird dem Via-Records-Format immer „net.tcp://“ vorangestellt. gefolgt vom Hostnamen des gewünschten Servers, dem Port für den ADWS-Dienst und schließlich dem angegebenen Endgerät. Beim Anfordern von Daten aus LDAP möchten wir den Endpunkt „Enumeration“ verwenden.
Abbildung 4 – Struktur der NMF-Präambel
Im Anschluss an die NMF-Präambelnachricht sendet der Client eine NMF-Upgrade-Anforderungsnachricht (0x9), in der er um Erlaubnis bittet, die Sitzung mittels NNS-Authentifizierung zu aktualisieren und den NNS-Handshake zu starten. Wenn der Server diese Anfrage erlaubt, antwortet er mit einer NMF Upgrade Response-Nachricht (0xA).
NNS bietet Framing für GSS-API-Daten (Generic Security Service Anwendung Program Interface) und nutzt Simple and Protected GSS-API Negotiation (SPNEGO), um auszuhandeln, ob das NTLM- oder das Kerberos-Authentifizierungsprotokoll verwendet werden soll. Zusätzlich bietet NNS auch eine Authentifizierung über NTLM oder Kerberos. Die Spezifikation für NNS ist hier zu finden. Das folgende Beispiel konzentriert sich auf die Authentifizierung mit NTLM über NNS.
Ein NNS-Handshake wird anschließend vom Client gesendet, um den Authentifizierungsprozess zu starten. Es enthält insbesondere einen Authentifizierungs-Payload mit Authentifizierungs-Tokens, die wir mit der SPNEGO-Bibliothek von Impacket erzeugen.
Abbildung 5 – Struktur des NNS-Handshakes
Der Server sendet dann eine NNS NTLMSSP_Challenge-Nachricht zurück, die eine Challenge enthält, die zum Aufbau der NTLMSSP_AUTH als Challenge-Response verwendet wird, die zur Authentifizierung an den Server zurückgesendet wird. Nach erfolgreicher Authentifizierung sendet der Server dann eine abschließende NNS-Handshake-Nachricht (0x15) zurück, die den Status der Authentifizierung anzeigt. Bemerkenswert ist, dass wir schnell herausgefunden haben, dass ADWS nicht anfällig für NTLM-Relay-Angriffe ist, da die Signierung der Nachrichten serverseitig erforderlich ist.
Nachdem die NMF-Verbindung erfolgreich auf NNS aktualisiert und der Client sich beim Server authentifiziert hat, sendet der Client die NMF Preamble End-Nachricht (0xC) und teilt dem Server mit, dass die Preambel abgeschlossen wurde. Der Server antwortet mit einer NMF-Präambel-Bestätigungsnachricht (0xB), in der er bestätigt, dass die Präambel abgeschlossen ist und der Client nun Daten senden kann.
Wie bereits erwähnt, müssen die an den Server gesendeten Daten im NBFSE-Format strukturiert sein, wie es in der Spezifikation hier definiert ist. NBFSE wird zur Kodierung oder Serialisierung von SOAP-Daten verwendet, die über NMF gesendet werden sollen. NBFSE ist eine Erweiterung von NBFS (.NET Binary Format: SOAP Data Structure), das wiederum eine Erweiterung von NBFX (.NET Binary Format: XML Data Structure) ist, so dass wir alle drei XML-Formatierungsspezifikationen implementieren müssen. NBFSE verlangt die Verwendung eines In-Band-Wörterbuchs für Datenreduktionsverfahren, wir haben jedoch festgestellt, dass diese Anforderung umgangen werden kann, indem Nachrichten mit einem leeren In-Band-Wörterbuch gesendet werden.
Nach der Implementierung von NBFSE verlagerte sich unser Fokus darauf, zu verstehen, wie ein Client nach Abschluss des Authentifizierungsprozesses mit ADWS interagiert. Ursprünglich wollten wir LDAP abfragen, daher war die erste Datennachricht, die wir implementierten, die ADWS-Enumerationsnachricht. Diese Nachricht enthält die LDAP-Abfrage, die der Server verwenden soll, um den lokalen LDAP-Dienst abzufragen, sowie eine Liste der LDAP-Attribute, die für jedes Objekt zurückgegeben werden sollen. Darüber hinaus definiert jede Aufzählungsnachricht die „Enumerate“-Aktion und den „Enumeration“-Endpunkt. Beachten Sie, dass jede Nachricht ab diesem Zeitpunkt eine vollständige SOAP-Datennachricht ist; beispielsweise wird unten eine Enumerationsnachricht angezeigt:
Abbildung 6 – ADWS-Enumerationsnachricht
Nach dem Empfang der Enumerationsnachricht antwortet der Server mit einer Nachricht, die eine Sitzungszeichenfolge enthält, den sogenannten Enumerationskontext in Form einer universell eindeutigen Kennung (UUID). Wir können dann diesen Enumerationskontext in einer Pull-Nachricht verwenden, um LDAP-Ergebnisse vom Server abzurufen. Die Pull-Nachricht wird unten angezeigt und enthält die entsprechende Aktion „Abrufen“ und eine Definition des Aufzählungskontexts.
Abbildung 7 – ADWS Pull-Nachricht
Nachdem diese Nachricht an den Server gesendet wurde, antwortet der Server mit LDAP-Informationen im SOAP-Format, die dann vom empfangenden Client weiter analysiert werden können.
Die vollständige Nachrichteninteraktion zwischen Client und Server wird unten dargestellt.
Abbildung 8 – ADWS-Client-Server-Interaktion
SoaPy ist ein von uns entwickeltes Python-Tool, das diese zugrunde liegenden Protokollbibliotheken nutzt, um LDAP-Erkundungs- und Änderungsaktionen für entfernte ADWS-Instanzen durchzuführen. Es umfasst eine Sammlung vorgefertigter Abfragen, die für gängige AD-Erkundungsaktionen verwendet werden, wie beispielsweise die Auflistung von Konten mit dem Attribut „servicePrincipalName“ und die Identifizierung von Konten, die für eingeschränkte und uneingeschränkte Delegierung konfiguriert sind. SoaPy enthält außerdem ein Flag für benutzerdefinierte Abfragen nach Wahl des Betreibers sowie die Option, das Attribut „msDs-AllowedToActOnBehalfOfOtherIdentity” auf LDAP-Objekten zu schreiben, um die ressourcenbasierte eingeschränkte Delegierung (RBCD) zu nutzen.
Die meisten gängigen Konventionen zur Verwendung von Impacket-Beispielskripten lassen sich auch auf SoaPy übertragen, da unser ursprüngliches Ziel für dieses Projekt darin bestand, ein Tool zu entwickeln, das sich effektiv mit der Impacket-Suite kombinieren lässt. Die Verwendung der Impacket-Suite machte die Interaktion mit gut dokumentierten Active Directory-Authentifizierungsprotokollen wie NTLM und Kerberos recht einfach. Da das aktuelle Impacket-Projekt jedoch keine Unterstützung für NNS, NMF usw. bot, erweiterten wir das Projekt um die zusätzlichen Protokolle, die wir in SoaPy implementierten.
Beispielsweise kann SoaPy verwendet werden, um Benutzerkonten abzurufen, bei denen das Attribut „servicePrincipalName“ durch Übergabe des Flags „–spns“ gesetzt ist:
Abbildung 9 – Aufzählung der Dienstkonten mit SoaPy
In der obigen Demo wird ein einziges Ergebnis zurückgegeben – der Benutzer „mssql_svc“. Derzeit wird für zurückgegebene Objekte nur eine Standard-Teilmenge von Attributen angezeigt. In Zukunft möchten wir dem Bediener jedoch die Möglichkeit geben, bestimmte Attribute anzupassen, die von der Abfrage zurückgegeben werden sollen.
SoaPy ist als Open-Source-Tool auf der offiziellen IBM X-Force Red GitHub-Seite unter https://github.com/xforcered/SoaPy verfügbar.
Das Sammeln von Protokollen aus ADWS, um diese Protokolle nachzubilden, erwies sich als schwierig, da die einzigen identifizierten Protokollierungsmechanismen zur Erfassung von Informationen über das Protokoll die Windows Communication Foundation (WCF)-Protokollierung (aktiviert über die ADWS-Dienstkonfigurationsdatei) und die .NET-Protokollierung waren. Der größte Teil des Entwicklungsprozesses erfolgte über die Beobachtung des vom Active Directory-Modul der PowerShell erzeugten Netzwerkverkehrs, die Überprüfung der Protokollierung und das Lesen der einzelnen Protokollspezifikationen im Stack.
Die WCF-Protokollierung kann durch Ändern der Datei „C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config“ aktiviert werden. Details der Konfiguration sind in der offiziellen Microsoft-Dokumentation detailliert beschrieben.
LDAP-Protokollierung ist eine Erkennungsmethode, die verwendet wird, um zusätzliche Informationen zu Details von LDAP-Interaktionen in Active Directory-Umgebungen zu sammeln. Einige der wichtigen Informationen, die sich aus dem Protokollierung ergeben, sind die Client-Adresse, die die Abfrage initiiert hat, der Computer, von dem die Abfrage stammt, die verwendete LDAP-Filterzeichenfolge, die für die Rückgabe ausgewählten Attribute und schließlich der Benutzerkontext, der für die Authentifizierung gegenüber dem LDAP-Server verwendet wird.
Als Beispiel zeigt der folgende Screenshot den Windows Event Viewer mit aktiviertem LDAP-Logging nach der Durchführung der Active Directory Enumeration mit SoaPy.
Informationen zur Aktivierung der LDAP-Protokollierung finden Sie hier.
Abbildung 10 – Event Viewer-Perspektive der Aufzählung durch ADWS
Die üblichen Methoden zur Erkennung von LDAP-Rekonstruktionen gelten auch für die Erkennung von Aufzählungen in SoaPy. Obwohl der Client nicht direkt mit dem LDAP-Dienst interagiert, verdeckt die Interaktion von ADWS nicht alles Nützliche. Bösartige Indikatoren werden weiterhin vom ADWS an den LDAP-Dienst weitergegeben, einschließlich des LDAP-Filters, der Attributauswahl und des ursprünglichen Benutzerkontos, das die Authentifizierung bereitgestellt hat. Der obige Screenshot zeigt eine gängige verdächtige LDAP-Abfrage, die zum Aufzählen von Kerberoastable-Konten verwendet wird. Zuvor implementierte LDAP-Erkennungen werden durch dieses Ereignis weiterhin ausgelöst, obwohl das Protokoll, da die Abfrage gegen ADWS gerichtet war, einen Quellcomputer eines lokalen Domänencontrollers anzeigt. Das Protokoll zeigt auch an, dass ein Benutzer mit geringen Rechten in der Gruppe "Domänenbenutzer" eine Abfrage vom DC aus durchgeführt hat, da der indirekte LDAP-Zugriff über ADWS erfolgt, was in jedem anderen Szenario angesichts der für den Zugriff auf den DC erforderlichen Berechtigungen ungewöhnlich ist. Darüber hinaus sind SACL-Canaries (System Access Control List) nach wie vor wirksam bei der Protokollierung von Zugriffen auf bestimmte Objekte während der Verwendung von SoaPy und alarmieren Verteidiger schnell über verdächtige Aktivitäten.
Während die Erkennung der Aufzählung durch SoaPy der Erkennung der direkten LDAP-Aufzählung ähnelt, entsteht zusätzliche Komplexität beim Finden der Quelle der Aufzählung im Rahmen von Vorfallreaktionsverfahren. Dies liegt daran, dass der ursprüngliche Computer und die IP-Adresse im Ereignis immer der DC sind. Eine Möglichkeit, die potenzielle Quelle der Enumeration zu finden, bestünde darin, den Benutzer, der die Enumeration durchführt, mit den aktiven Sitzungen in der Umgebung zu korrelieren. Dies kann zwar effektiv sein, wenn der Benutzerkontext, der für den Betrieb der Post-Ausbeutung-Funktion verwendet wird, derselbe ist wie der Benutzerkontext, der die Aufzählung durchführt, aber dies ist nicht immer ein absolut effektiver Ansatz. Der Grund dafür ist die Möglichkeit, dass die Post-Ausbeutung-Funktionen genutzt wird, um Datenverkehr in die Umgebung zu leiten und die Authentifizierung mit gestohlenen Zugangsdaten vorzunehmen.
Unter Berücksichtigung dieser Aspekte sollten typische Warnmeldungen für LDAP-basierte Aufklärung weiterhin effektiv sein, um die Verteidiger auf das Vorhandensein von anomalem Verhalten in der Umgebung aufmerksam zu machen und einen soliden Indikator für eine Kompromittierung (IOC) für das Benutzerobjekt zu liefern, das zur Durchführung der Abfrage verwendet wird. Sie können jedoch eine zusätzliche Überprüfung erfordern, um den Quell-Host der Aktion zu bestimmen.
Wir beabsichtigen, unsere Codebasis zu pflegen und weiter zu verbessern, während wir neue Funktionen und Verbesserungen der Lebensqualität hinzufügen, darunter zusätzliche Optionen für feinkörnige Attributsammlung, benutzerdefinierte Attributschreibung und ADCS-Zertifikatsaufzählung. Die Integration unserer zugrundeliegenden Bibliotheken und SoaPy in Impacket in Form eines GitHub Pull Requests ist weiterhin unser Ziel. Wir glauben, dass unsere Backend-Interaktion für die Interaktion mit NNS, NMF usw. für zukünftige Tool-Entwickler nützlich sein könnte, die mit anderen Diensten interagieren möchten, die diese Protokolle verwenden, vor allem, weil unseres Wissens bisher kein Python-Code für die Interaktion mit diesen Protokollen existierte.
Active Directory Web Services, oder ADWS, ist seit Windows Server 2008 ein standardaktivierter Dienst auf Domänencontrollern und ermöglicht es uns, mit LDAP zu interagieren, Abfragen in unserem Namen zu stellen und unsere Abfragen zu proxyen. Wir haben festgestellt, dass die Interaktion mit ADWS bisher nicht über einen Linux-Host möglich war, was uns zur Entwicklung von SoaPy motivierte. SoaPy hatte während der Entwicklung seine eigenen Schwierigkeiten. Wir mussten mit wenig Unterstützung durch Microsoft-Spezifikationen benutzerdefinierte Protokollimplementierungen erstellen. SoaPy hat zudem eigene begleitende Erkennung, da es eine deutlich unauffälligere Methode der LDAP-Aufzählung ist, anstatt direkt mit dem LDAP-Dienst zu interagieren.
Wir hoffen, dass SoaPy die Grundlage für die Interaktion mit ADWS über einen Linux-Host oder jeden anderen Dienst schafft, der die für die Interaktion erforderlichen zugrunde liegenden Protokolle nutzt. Ein wichtiges Ziel ist es, unseren Code in Impacket zu integrieren, um sicherzustellen, dass unser Code weit verbreitet und zugänglich ist und gleichzeitig die Community dazu anzuregen, unser Projekt als Ausgangspunkt für die Weiterentwicklung zu nutzen.