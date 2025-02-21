Con el tiempo, las enumeraciones selectivas y a gran escala de los entornos de Active Directory (AD) se han ido detectando cada vez más gracias a las modernas soluciones defensivas. Durante nuestras prácticas en X-Force Red el verano pasado, notamos que SOAPHound de FalconForce se estaba volviendo popular para enumerar entornos de Active Directory. Esta herramienta aportó una nueva perspectiva a la enumeración de Active Directory al realizar la recopilación a través de los servicios web de Active Directory (ADWS) en lugar de directamente a través del protocolo ligero de acceso a directorios (LDAP) como lo habían hecho otras herramientas de enumeración de Active Directory en el pasado. Estábamos interesados en ampliar los casos de uso de este oficio, lo que finalmente nos llevó a simplificar la interacción con ADWS desde hosts Linux mediante el desarrollo de una biblioteca portátil escrita en Python y una herramienta personalizada para utilizar dicha biblioteca que llamamos SoaPy.
ADWS está habilitado de forma predeterminada en los controladores de dominio (DC) de Active Directory en el puerto 9389 y lo utilizan diversas herramientas de administración de sistemas de Microsoft, como el Centro administrativo de Active Directory (ADAC) y el módulo Active Directory dentro de PowerShell. Los clientes se comunican con ADWS mediante mensajes SOAP (protocolo simple de acceso a objetos) en formato XML. Estos mensajes son analizados por el servicio web, que luego interactúa con el servicio LDAP local en el controlador de dominio. Esto permite la interacción típica de AD (incluida la lectura y escritura en objetos) utilizando los permisos de AD asignados al usuario que realiza la consulta sin necesidad de un enlace directo al propio servicio LDAP. Además, a medida que las conexiones se pasan del servicio ADWS local a LDAP, cualquier interacción realizada mediante este mecanismo se muestra como el controlador de dominio local que se conecta a sí mismo dentro de los registros de eventos de Windows.
Figura 1: interacción del cliente con LDAP a través de ADWS
ADWS alberga una colección de protocolos que se exponen a través de endpoints de servicios web. Cada endpoint tiene un identificador uniforme de recursos (URI) de identificación única y está precedido por un tipo de encuadernación "net.tcp". Se admiten dos mecanismos de autenticación para la interacción. Incluye autenticación “integrada de Windows” para utilizar un protocolo nativo de Windows llamado NNS (.NET NegotiateStream Protocol), así como el mecanismo “nombre de usuario/contraseña” utilizado para la autenticación mediante seguridad de la capa de transporte (TLS). Los diferentes endpoints proporcionan una funcionalidad diferente a la de ADWS. Por ejemplo, el endpoint "Enumeración" se puede utilizar para consultar y leer datos LDAP, y el endpoint "Recurso" se puede utilizar para escribir datos LDAP. La lista completa de endpoints de servicio web se muestra a continuación.
Figura 2 – Endpoints disponibles para la interacción con ADWS
Antes de la creación de nuestra biblioteca, la interacción con ADWS solo podía realizarse utilizando herramientas creadas por Microsoft como RSAT (herramientas de administración remota del servidor) y herramientas creadas con .NET, que esencialmente limitaban el uso del protocolo a los hosts de Windows. Tener la capacidad de interactuar con este servicio desde un host Linux podría ofrecer a los profesionales de la seguridad opciones adicionales para la interacción con Active Directory.
Esta brecha nos motivó a crear SoaPy, una herramienta para interactuar con LDAP sobre ADWS desde un host Linux. La creación de esta herramienta conllevaba una serie de retos que superar, ya que los protocolos subyacentes utilizados para interactuar con el ADWS aún no se habían implementado en Python. La falta de documentación sobre estos protocolos complicó aún más las cosas y nos obligó a aplicarles ingeniería inversa tanto mediante el análisis del código fuente como el examen de las capturas de paquetes.
Algunas de las tecnologías que terminamos implementando en Python para comunicarnos con éxito a través de ADWS incluyen NNS (.NET NegotiateStream Protocol), NMF (.NET Message Framing Protocol) y NBFSE (.NET Binary Format: SOAP Extension). Estas implementaciones con el resto de nuestra herramienta suman alrededor de 5000 líneas de código. Debido al número de capas de protocolo relativamente desconocidas necesarias para interactuar con LDAP a través de ADWS, pasaron varios meses de trabajo antes de poder realizar una consulta sencilla a través de ADWS.
Figura 3 – Pila de protocolos para interactuar con ADWS
La primera capa de protocolo que nuestro equipo tuvo que diseñar para interactuar con ADWS fue NMF; la especificación de este protocolo se puede encontrar aquí. Este protocolo define cómo deben enmarcarse los mensajes y se utiliza principalmente para enmarcar mensajes SOAP. NMF incluye un protocolo de enlace inicial que se utiliza para establecer la sesión, siendo el primer mensaje enviado desde el cliente el mensaje de preámbulo de NMF. Este mensaje incluye el modo de operación (siempre el modo dúplex en el caso de ADWS), un registro VIA, que nos permite establecer el endpoint ADWS designado en el servidor para interactuar y, finalmente, el formato de codificación que se utilizará para la transferencia de datos. En la Figura 4 se muestra un ejemplo de código que muestra la estructura de estos mensajes. A nuestro entender, el único formato de codificación compatible es NBFSE, que se abordará más adelante. Como se ve a continuación, el formato de registros de vía siempre va precedido de "net.tcp://", seguido del nombre de host del servidor deseado, el puerto del servicio ADWS y, por último, el endpoint web especificado. Al solicitar datos de LDAP, queremos utilizar el endpoint "Enumeración".
Figura 4 – Estructura del preámbulo de NMF
Después del mensaje de preámbulo de NMF, el cliente envía un mensaje de solicitud de actualización de NMF (0x9), solicitando permiso para actualizar la sesión mediante autenticación NNS e iniciar el protocolo de enlace NNS. Si el servidor permite esta solicitud, responde con un mensaje de respuesta de actualización NMF (0xA).
NNS funciona para proporcionar marcos para los datos de la interfaz de programa de aplicación de servicio de seguridad genérica (GSS-API) y utiliza la negociación GSS-API simple y protegida (SPNEGO) para negociar si se utilizan los protocolos de autenticación NTLM o Kerberos. Además, NNS también proporciona marcos para la autenticación a través de NTLM o Kerberos. La especificación de NNS se puede encontrar aquí. El siguiente ejemplo se centra en la autenticación mediante NTLM sobre NNS.
A continuación, el cliente envía un handshake NNS para iniciar el proceso de autenticación. Incluye específicamente una carga útil de autenticación que contiene tokens de autenticación, que generamos utilizando la biblioteca SPNEGO de Impacket.
Figura 5 – Estructura del protocolo de enlace NNS
A continuación, el servidor devuelve un mensaje NNS NTLMSSP_Challenge, que contiene un desafío que se utiliza para crear el NTLMSSP_AUTH como un desafío-respuesta para enviar de vuelta al servidor para su autenticación. Después de autenticarse correctamente, el servidor devuelve un mensaje final de protocolo de enlace NNS (0x15) que indica el estado de la autenticación. Algo destacable es que aprendimos rápidamente que ADWS no era vulnerable a ataques de relé NTLM debido a que la firma de mensajes era obligatoria en el servidor.
Una vez que la conexión NMF se ha actualizado correctamente a NNS y el cliente se ha autenticado en el servidor, el cliente envía el mensaje de fin de preámbulo NMF (0xC), indicando al servidor que el preámbulo se ha completado. El servidor responde con un mensaje de reconocimiento de preámbulo NMF (0xB), reconociendo que el preámbulo ha finalizado y que el cliente ahora puede enviar datos.
Como se mencionó anteriormente, los datos enviados al servidor deben estructurarse en el formato NBFSE, según lo define la especificación aquí. NBFSE se utiliza para codificar o serializar datos SOAP que se enviarán a través de NMF. NBFSE es una extensión de NBFS (formato binario .NET: estructura de datos SOAP), que a su vez es una extensión de NBFX (formato binario .NET: estructura de datos XML), lo que nos obliga a implementar las tres especificaciones de formato XML. NBFSE requiere el uso de un diccionario en banda para procedimientos de reducción de datos, pero descubrimos que este requisito puede eludirse enviando mensajes con un diccionario en banda en blanco.
Después de implementar NBFSE, nuestro enfoque cambió a comprender cómo interactúa un cliente con ADWS después de completar el proceso de autenticación. Al principio, queríamos consultar LDAP, así que el primer mensaje de datos que implementamos fue el mensaje de enumeración de ADWS. Este mensaje incluye la consulta LDAP que debe utilizar el servidor para consultar el servicio LDAP local, así como una lista de atributos LDAP que deben devolverse para cada objeto. Además, cada mensaje de enumeración define la acción “Enumerar” y el endpoint “Enumeración”. Tenga en cuenta que cada mensaje a partir de este momento es un mensaje de datos SOAP completo; por ejemplo, a continuación se muestra un mensaje de enumeración:
Figura 6 – Mensaje de enumeración de ADWS
Al recibir el mensaje de enumeración, el servidor responde con un mensaje que contiene una cadena de sesión, denominada contexto de enumeración en forma de identificador único universal (UUID). A continuación, podemos utilizar este contexto de enumeración en un mensaje de extracción para extraer resultados LDAP del servidor. A continuación se muestra el mensaje Pull que contiene una acción adecuada de "Pull" y una definición de contexto de enumeración.
Figura 7 – Mensaje Pull ADWS
Tras enviar este mensaje al servidor, el servidor responderá con la información de LDAP en formato SOAP, que el cliente receptor podrá analizar más a fondo.
A continuación se muestra la interacción completa de mensajes entre el cliente y el servidor.
Figura 8 — Interacción entre cliente y servidor de ADWS
SoaPy es una herramienta de Python que hemos creado y que utiliza estas bibliotecas de protocolos subyacentes para realizar acciones de reconocimiento y modificación de LDAP en instancias remotas de ADWS. Incluye una colección de consultas prediseñadas que se utilizan para las acciones comunes de reconocimiento de AD, como la enumeración de las cuentas con el conjunto de atributos "servicePrincipalName" y la identificación de las cuentas configuradas para la delegación restringida y sin restricciones. SoaPy también incluye un indicador para las consultas personalizadas que elija el operador, así como la opción de escribir en el atributo "msDS-AllowedToActOnBehalfOfOtherIdentity" de los objetos LDAP para explotar la Delegación Restringida Basada en Recursos (RBCD).
La mayoría de las convenciones comunes de uso de scripts de ejemplo de Impacket se trasladan a SoaPy, ya que nuestro objetivo original para este proyecto era crear una herramienta que pudiera superponerse eficazmente con la suite Impacket. El uso de la suite Impacket facilitó la interacción con protocolos de autenticación de Active Directory bien documentados, como NTLM y Kerberos, pero como el proyecto Impacket actual no era compatible con NNS, NMF, etc., ampliamos el proyecto con los protocolos adicionales que implementamos en SoaPy.
Como ejemplo, se puede utilizar SoaPy para recuperar cuentas de usuario con el atributo “servicePrincipalName” establecido pasando el indicador “–spns”:
Figura 9 – Enumeración de cuentas de servicio utilizando SoaPy
En la demostración anterior, se devuelve un único resultado: el usuario "mssql_svc". Actualmente, solo se muestra un subconjunto predeterminado de atributos para los objetos devueltos, pero en el futuro, nos gustaría permitir que el operador personalice los atributos específicos que devolverá la consulta.
SoaPy está disponible como herramienta de código abierto en la página oficial de GitHub de IBM X-Force Red, en https://github.com/xforcered/SoaPy.
La recopilación de registros de ADWS para recrear estos protocolos resultó difícil, ya que los únicos mecanismos de registro identificados para recopilar información sobre el protocolo fueron el registro de Windows Communication Foundation (WCF) (habilitado a través del archivo de configuración del servicio ADWS) y el registro de .NET. La mayor parte del proceso de desarrollo se realizó a través de la observación del tráfico de red generado por el módulo Active Directory de PowerShell, la revisión del registro de WCF y la lectura de cada especificación de protocolo en la pila de protocolos.
La información de registro de WCF se puede habilitar modificando “C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config”. Los detalles específicos de la configuración se detallan en la documentación oficial de Microsoft.
El registro de LDAP es un método de detección de enumeración que se utiliza para recopilar información adicional sobre los detalles de las interacciones LDAP en entornos de Active Directory. Parte de la información de registro importante devuelta por el registro incluye la dirección del cliente que inició la consulta, el ordenador desde el que se origina la consulta, la cadena de filtro LDAP utilizada, los atributos seleccionados para la devolución y, por último, el contexto de usuario utilizado para la autenticación en el servidor LDAP.
Como ejemplo, la siguiente captura de pantalla es del visor de eventos de Windows con la información de registro LDAP habilitada después de realizar la enumeración de Active Directory con SoaPy.
Encontrará información sobre cómo activar la información de registro LDAP aquí.
Figura 10 – Perspectiva del visor de eventos de la enumeración a través de ADWS
Los métodos comunes de detección de reconocimiento LDAP siguen aplicándose al detectar la enumeración de SoaPy. Aunque el cliente no interactúa directamente con el servicio LDAP, la interacción de ADWS no oculta todo lo útil. ADWS sigue transmitiendo indicadores maliciosos al servicio LDAP, incluidos el filtro LDAP, la selección de atributos y la cuenta de usuario original que proporcionaba la autenticación. La captura de pantalla anterior muestra una consulta LDAP sospechosa común utilizada para enumerar cuentas Kerberoastable. Las detecciones LDAP implementadas anteriormente seguirán activándose a partir de este evento, aunque como la consulta se realizó contra ADWS, el registro mostrará un ordenador de origen de un controlador de dominio local. El registro también mostrará un usuario con privilegios bajos en el grupo "Usuarios del dominio" que ha realizado una consulta desde el DC debido al acceso LDAP indirecto a través de ADWS, lo cual es inusual en cualquier otro escenario dados los permisos necesarios para acceder al DC. Además, los canarios de la lista de control de acceso al sistema (SACL) siguen siendo eficaces para registrar el acceso a objetos específicos mientras se utiliza SoaPy, alertando rápidamente a los defensores de actividades sospechosas.
Si bien la detección de la enumeración de SoaPy es similar a la detección de la enumeración LDAP directa, surge una complejidad adicional al encontrar la fuente de la enumeración como parte de los procedimientos de respuesta a incidentes. Esto se debe al ordenador de origen y la dirección IP en el evento siempre son el DC. Una forma de encontrar la fuente potencial de enumeración sería correlacionar el usuario que realiza la enumeración con las sesiones activas en el entorno. Aunque esto puede ser eficaz si el contexto de usuario que se utiliza para operar la capacidad posterior a la explotación es el mismo que el contexto de usuario que realiza la enumeración, puede que no siempre sea un enfoque completamente eficaz. Esto se debe a la posibilidad de que la capacidad posterior a la explotación se utilice para propagar el tráfico en el entorno y proporcionar la autenticación con credenciales robadas.
Teniendo en cuenta estas consideraciones, las alertas típicas para el reconocimiento basado en LDAP deberían seguir siendo eficaces para alertar a los defensores de la presencia de un comportamiento anómalo en el entorno y pueden proporcionar un sólido indicador de compromiso (IOC) para el objeto de usuario utilizado para realizar el consulta. Sin embargo, pueden requerir una revisión adicional para determinar el host de origen de la acción.
Tenemos la intención de mantener nuestra base de código y continuar mejorándola al tiempo que añadimos nuevas características y mejoras de calidad de vida, incluidas opciones adicionales para la recopilación de atributos detallados, la escritura de atributos personalizados y la enumeración de certificados ADCS. Integrar nuestras bibliotecas subyacentes y SoaPy en Impacket en forma de una solicitud de extracción de GitHub sigue siendo un objetivo para nosotros. Creemos que nuestra interacción de backend para interactuar con NNS, NMF, etc. podría ser útil para futuros desarrolladores de herramientas que busquen interactuar con cualquier otro servicio que utilice estos protocolos, principalmente porque, hasta donde sabemos, el código Python para interactuar con estos protocolos no existía anteriormente.
Active Directory Web Services, o ADWS, ha sido un servicio habilitado por defecto en los controladores de dominio desde Windows Server 2008, y nos permite interactuar con LDAP, realizar consultas en nuestro nombre y enviar nuestras consultas por proxy. Nos dimos cuenta de que antes no era posible interactuar con ADWS a través de un host Linux, lo que nos motivó a crear SoaPy. SoaPy tuvo sus propias dificultades durante el desarrollo, lo que nos obligó a crear implementaciones de protocolos personalizados con poca ayuda de las especificaciones de Microsoft. SoaPy también tiene sus propias consideraciones de detección, ya que es un método de enumeración LDAP mucho más sigiloso en lugar de interactuar directamente con el servicio LDAP.
Esperamos que SoaPy siente las bases para interactuar con ADWS a través de un host Linux, o cualquier servicio que utilice los protocolos subyacentes necesarios para la interacción. Un objetivo importante es fusionar nuestro código con Impacket, lo que ayuda a garantizar que nuestro código esté generalizado y sea accesible, al tiempo que empuja a la comunidad a utilizar nuestro proyecto como punto de partida para un mayor desarrollo.