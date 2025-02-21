Au fil du temps, l’énumération ciblée et à grande échelle des environnements Active Directory (AD) est détectée de plus en plus souvent grâce à des solutions défensives modernes. Lors de notre stage chez X-Force Red l’été dernier, nous avons remarqué que SOAPHound de FalconForce devenait populaire pour l’énumération des environnements Active Directory. Cet outil a apporté une nouvelle perspective à l’énumération Active Directory en effectuant la collecte via Active Directory Web Services (ADWS) au lieu de passer directement par le protocole d’accès léger à répertoire (LDAP) comme d’autres outils d’énumération AD par le passé. Nous étions intéressés par l’élargissement des cas d’utilisation de cette pratique, ce qui nous a finalement conduits à simplifier l’interaction avec ADWS depuis les hôtes Linux grâce au développement d’une bibliothèque portable écrite en Python et d’un outil personnalisé pour utiliser ladite bibliothèque que nous avons nommé SoaPy.
ADWS est activé par défaut sur les contrôleurs de domaine Active Directory (DC) sur le port 9389 et est utilisé par divers outils d’administration de systèmes Microsoft, tels que Active Directory Administrative Center (ADAC) et le module Active Directory dans PowerShell. Les clients communiquent avec ADWS en utilisant des messages SOAP (Simple Object Access Protocol) au format XML. Ces messages sont analysés par le service Web, qui interagit ensuite avec le service LDAP local sur le contrôleur de domaine. Cela permet une interaction AD typique (incluant la lecture et l’écriture sur des objets) en utilisant les permissions AD attribuées à l’utilisateur interrogateur sans nécessiter de liaison directe au service LDAP lui-même. En outre, comme les connexions sont transmises du service ADWS local à LDAP, toutes les interactions effectuées à l’aide de ce mécanisme sont affichées dans les journaux d’événements Windows comme si le contrôleur de domaine local se connectait à lui-même.
Figure 1 : Interaction du client avec LDAP via ADWS
ADWS héberge un ensemble de protocoles exposés via des points de terminaison de services Web. Chaque point de terminaison possède un identifiant de ressource uniforme (URI) unique et est précédé par un type de liaison "net.tcp" . Deux mécanismes d’authentification sont pris en charge pour l’interaction. C’est le cas de l’authentification « Windows Integrated » pour utiliser un protocole natif Windows appelé NNS (.NET NegotiateStream Protocol), ainsi que le mécanisme « nom d’utilisateur/mot de passe » utilisé pour l’authentification via Transport Layer Security (TLS). Les différents points de terminaison offrent des fonctionnalités différentes de celles de l’ADWS. Par exemple, le point de terminaison « Énumération » peut être utilisé pour interroger et lire des données LDAP, et le point de terminaison « Ressource » peut être utilisé pour écrire des données LDAP. La liste complète des points de terminaison des services Web est présentée ci-dessous.
Figure 2 : points de terminaison disponibles pour l’interaction ADWS
Avant la création de notre bibliothèque, l’interaction avec ADWS ne pouvait se faire qu’en utilisant des outils développés par Microsoft tels que RSAT (Remote Server Administration Tools), et des outils créés avec .NET, qui limitaient essentiellement l’utilisation du protocole aux hôtes Windows. La possibilité d’interagir avec ce service depuis un hébergeur Linux pourrait offrir aux professionnels de la sécurité des options supplémentaires en matière d’interaction avec Active Directory.
Cette lacune nous a incités à créer SoaPy, un outil permettant d’interagir avec LDAP via ADWS à partir d’un hôte Linux. La création de cet outil comportait de nombreux défis à surmonter, car les protocoles sous-jacents utilisés pour interagir avec ADWS n’avaient pas encore été implémentés en Python. Le manque relatif de documentation sur ces protocoles n’a fait que compliquer les choses et nous a amenés à en faire l’ingénierie inverse, à la fois en analysant le code source et en examinant les captures de paquets.
Parmi les technologies que nous avons finalement implémentées en Python pour communiquer avec succès via ADWS, on peut citer NNS (.NET NegotiateStream Protocol), NMF (.NET Message Framing Protocol) et NBFSE (.NET Binary Format: SOAP Extension). Ces implémentations et le reste de notre outil totalisent environ 5 000 lignes de code. En raison du nombre de couches de protocole relativement obscures nécessaires pour interagir avec LDAP via ADWS, il a fallu plusieurs mois de travail avant même de pouvoir effectuer une simple requête via ADWS.
Figure 3 : pile de protocoles pour interagir avec ADWS
La première couche protocolaire que notre équipe a dû concevoir pour interagir avec ADWS était la NMF, la spécification de ce protocole se trouve ici. Ce protocole définit comment les messages doivent être encadrés et est principalement utilisé pour encadrer les messages SOAP. NMF comprend une poignée de main initiale utilisée pour établir la session, le premier message envoyé par le client étant le message de préambule NMF. Ce message comprend le mode de fonctionnement (toujours le mode duplex dans le cas d’ADWS), un enregistrement VIA, qui nous permet de définir le point de terminaison ADWS désigné sur le serveur pour interagir et enfin, le format d’encodage à utiliser pour le transfert de données. Un exemple de code illustrant la structure de ces messages est présenté à la figure 4. Pour une meilleure compréhension, le seul format d’encodage pris en charge est le NBFSE, qui sera abordé plus tard. Comme indiqué ci-dessous, l’enregistrement VIA est toujours précédé de "net.tcp ://", suivi du nom d’hôte du serveur désiré, du port du service ADWS et enfin du point de terminaison Web spécifié. Lors de la requête de données depuis LDAP, nous souhaitons utiliser le point de terminaison « Énumération ».
Figure 4 : structure NMF Preamble
Après le message NMF Preamble, le client envoie un message de demande de mise à niveau du NMF (0x9), demandant l’autorisation de mettre à niveau la session à l’aide de l’authentification NNS et de commencer l’échange de données NNS. Si le serveur autorise cette requête, il répond par un message de réponse de mise à niveau NMF (0xA).
Le NNS permet de cadrer les données de l’interface GSS-API (Generic Security Service Application Program Interface) et utilise la négociation GSS-API simple et protégée (SPNEGO) pour négocier l’utilisation des protocoles d’authentification NTLM ou Kerberos. De plus, NNS fournit également un cadre pour l’authentification via NTLM ou Kerberos. La spécification du NNS est disponible ici. L’exemple ci-dessous se concentre sur l’authentification via NTLM sur NNS.
Le client envoie ensuite une poignée de main NNS pour lancer le processus d’authentification. Elle inclut spécifiquement une charge d’authentification contenant des tokens d’authentification, que nous générons à l’aide de la bibliothèque SPNEGO d’Impacket.
Figure 5 – Structure du handshake NNS
Le serveur renvoie ensuite un message NNS NTLMSSP_Challenge, qui contient un défi utilisé pour construire le NTLMSSP_AUTH sous forme de réponse-défi à renvoyer au serveur pour authentification. Une fois l’authentification réussie, le serveur renvoie un message d’établissement de liaison NNS final (0x15) indiquant l’état de l’authentification. Un point à noter : nous avons rapidement appris que l’ADWS n’était pas vulnérable aux attaques relais NTLM car la signature de messages était requise côté serveur.
Après que la connexion NMF a été mise à niveau avec succès vers le NNS et que le client s’est authentifié au serveur, le client envoie le message NMF Preamble End (0xC), informant le serveur que le préambule est terminé. Le serveur répond par un message NMF Preamble Acknowledgement (0xB), reconnaissant que le préambule est terminé et que le client peut désormais envoyer des données.
Comme mentionné précédemment, les données envoyées au serveur doivent être structurées au format NBFSE, tel que défini par la spécification ici. NBFSE est utilisé pour encoder ou sérialiser les données SOAP à envoyer via NMF. NBFSE est une extension de NBFS (.NET Binary Format : SOAP Data Structure), qui est elle-même une extension de NBFX (.NET Binary Format : XML Data Structure), ce qui nous oblige à implémenter les trois spécifications de formatage XML. Le NBFSE exige l’utilisation d’un dictionnaire intrabande pour les procédures de réduction des données, mais nous avons constaté que cette exigence peut être contournée en envoyant des messages avec un dictionnaire intrabande vide.
Après avoir implémenté le NBFSE, nous nous sommes concentrés sur la façon dont un client interagit avec ADWS une fois le processus d’authentification terminé. À l’origine, nous voulions interroger le LDAP. Le premier message de données que nous avons implémenté était le message d’énumération ADWS. Ce message inclut la requête LDAP qui doit être utilisée par le serveur pour interroger le service LDAP local, ainsi qu’une liste des attributs LDAP qui doivent être retournés pour chaque objet. En outre, chaque message d’énumération définit l’action « Enumerate » et le point de terminaison « Enumeration ». Notez que chaque message à partir de maintenant est un message de données SOAP complet ; par exemple, un message d’énumération est présenté ci-dessous :
Figure 6 : message d’énumération ADWS
À la réception du message d’énumération, le serveur répond par un message contenant une chaîne de session, appelée contexte d’énumération, sous la forme d’un identificateur universel unique (UUID). Nous pouvons ensuite utiliser ce contexte d’énumération dans un message Pull, pour extraire des résultats LDAP du serveur. Le message Pull est présenté ci-dessous, contenant une action appropriée de "Pull" et une définition du Contexte d’énumération.
Figure 7 – Message Pull ADWS
Après l’envoi de ce message au serveur, celui-ci répond avec des informations LDAP au format SOAP, qui peuvent ensuite être analysées par le client récepteur.
L’interaction complète des messages entre le client et le serveur est illustrée ci-dessous.
Figure 8 : interaction client-serveur ADWS
SoaPy est un outil Python que nous avons créé et qui utilise ces bibliothèques de protocoles sous-jacentes pour effectuer des actions de reconnaissance et de modification LDAP sur des instances ADWS distantes. Il comprend une collection de requêtes pré-créées utilisées pour des actions courantes de reconnaissance AD, telles que l’énumération des comptes avec l’attribut « servicePrincipalName » défini, et l’identification des comptes configurés pour la délégation contrainte et non contrainte. SoaPy inclut également un drapeau pour les requêtes personnalisées choisies par l’opérateur, ainsi que l’option d’écrire dans l’attribut « msDs-AllowedToActOnBehalfOfOtherIdentity » sur les objets LDAP pour exploiter la Resource-Based Constrained Delegation (RBCD).
La plupart des conventions d’utilisation des scripts d’exemple d’Impacket sont reprises dans SoaPy car notre objectif initial pour ce projet était de créer un outil qui pourrait se superposer efficacement à la suite Impacket. L’utilisation de la suite Impacket a facilité l’interaction avec les protocoles d’authentification Active Directory bien documentés, tels que NTLM et Kerberos, mais comme le projet Impacket actuel ne prenait pas en charge NNS, NMF, etc., nous avons étendu le projet avec les protocoles supplémentaires que nous avons implémentés dans SoaPy.
Par exemple, SoaPy peut être utilisé pour récupérer des comptes utilisateurs avec l’attribut « servicePrincipalName » défini en passant l’indicateur « –spns » :
Figure 9 : énumération des comptes de service utilisant SoaPy
Dans la démo ci-dessus, un seul résultat est retourné : l’utilisateur "mssql_svc". Actuellement, seul un sous-ensemble par défaut d’attributs est affiché pour les objets retournés, mais à l’avenir, nous aimerions permettre à l’opérateur de personnaliser des attributs spécifiques à retourner par la requête.
SoaPy est disponible en tant qu’outil open-source sur la page GitHub officielle d’IBM X-Force Red, à l’adresse https://github.com/xforcered/SoaPy.
La collecte des journaux depuis ADWS pour recréer ces protocoles s’est avérée difficile, car les seuls mécanismes de journalisation identifiés pour recueillir des informations sur le protocole étaient la journalisation de Windows Communication Foundation (WCF) (activée via le fichier de configuration du service ADWS) et la journalisation .NET. La majeure partie du processus de développement s’est faite par l’observation du trafic réseau généré par le module Active Directory de PowerShell, la revue des journaux WCF et la lecture de chaque spécification de protocole dans la pile de protocoles.
La journalisation WCF peut être activée en modifiant le fichier « C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config ». Les spécificités de configuration sont détaillées dans la documentation officielle de Microsoft.
Newsletter sectorielle
Restez au fait des tendances les plus étonnantes du secteur dans le domaine de l’IA, de l’automatisation, des données et bien d’autres avec la newsletter Think. Consultez la Déclaration de confidentialité d’IBM.
Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.
La journalisation LDAP est une méthode de détection d’énumération utilisée pour recueillir des informations supplémentaires sur les détails des interactions LDAP dans les environnements Active Directory. Parmi les informations importantes renvoyées par la journalisation, citons l’adresse qui a lancé la requête, l’ordinateur à partir duquel la requête provient, la chaîne de filtre LDAP utilisée, les attributs sélectionnés pour le renvoi et enfin le contexte utilisateur utilisé pour l’authentification auprès du serveur LDAP.
A titre d’exemple, la capture d’écran suivante est celle de l’observateur d’événements Windows avec la journalisation LDAP activée après avoir effectué l’énumération Active Directory avec SoaPy.
Vous trouverez ici des informations sur l’activation de la journalisation LDAP.
Figure 10 : le point de vue d’Event Viewer sur l’énumération via ADWS
Les méthodes de détection de reconnaissance LDAP courantes s’appliquent toujours lors de la détection d’une énumération depuis SoaPy. Bien que le client n’interagisse pas directement avec le service LDAP, l’interaction avec ADWS n’occulte pas tout ce qui est utile. Des indicateurs malveillants sont toujours transmis au service LDAP par ADWS, notamment le filtre LDAP, la sélection d’attributs et le compte utilisateur d’origine qui a permis l’authentification. La capture d’écran ci-dessus montre une requête LDAP suspecte utilisée pour énumérer les comptes Kerberoastable. Les détections LDAP précédemment implémentées se déclencheront toujours à partir de cet événement, bien que, comme la requête a été effectuée sur ADWS, le journal affichera un ordinateur source d’un contrôleur de domaine local. Le journal montrera également un utilisateur à faible privilège dans le groupe « Domain Users » ayant effectué une requête depuis le DC en raison de l’accès indirect LDAP via ADWS, ce qui est inhabituel dans tout autre scénario compte tenu des permissions requises pour accéder au DC. En outre, les canaris de la liste de contrôle d’accès au système (SACL) sont toujours efficaces pour la journalisation de l’accès à des objets spécifiques lors de l’utilisation de SoaPy, ce qui permet d’alerter rapidement les défenseurs en cas d’activité suspecte.
Bien que la détection de l’énumération à partir de SoaPy soit similaire à celle de l’énumération directe par LDAP, la détection de la source de l’énumération dans le cadre des procédures de réponse aux incidents est encore plus complexe. Cela est dû au fait que l’ordinateur et l’adresse IP d’origine sont toujours le DC. Une façon de trouver la source potentielle de l’énumération serait d’établir une corrélation entre l’utilisateur effectuant l’énumération et les sessions actives dans l’environnement. Bien que cette approche puisse être efficace si le contexte de l’utilisateur utilisé pour exploiter la capacité de post-exploitation est le même que le contexte de l’utilisateur effectuant l’énumération, elle n’est pas toujours totalement efficace. En effet, la capacité de post-exploitation peut être utilisée pour acheminer du trafic par proxy dans l’environnement et fournir une authentification à l’aide d’informations identification volées.
Avec ces considérations à l’esprit, les alertes typiques pour la reconnaissance basée sur LDAP devraient rester efficaces pour alerter les lignes de défense de la présence de comportements anormaux dans l’environnement et peuvent fournir un indicateur de compromission solide (IOC) pour l’objet utilisateur utilisé pour effectuer la requête. Toutefois, un examen supplémentaire peut s’avérer nécessaire pour déterminer l’hôte source de l’action.
Nous avons l’intention de maintenir notre base de code et de continuer à l’améliorer tout en ajoutant de nouvelles fonctionnalités et des améliorations de la qualité de vie, notamment des options supplémentaires pour la collecte d’attributs fine, la rédaction personnalisée d’attributs et l’énumération des certificats ADCS. L’intégration de nos bibliothèques sous-jacentes et de SoaPy dans Impacket sous la forme d’une GitHub Pull Request est toujours un objectif pour nous. Nous pensons que notre interaction backend pour interagir avec NNS, NMF, etc. pourrait être utile pour les futurs développeurs d’outils souhaitant interagir avec d’autres services utilisant ces protocoles, principalement parce qu’à notre connaissance, le code Python n’existait pas auparavant.
Active Directory Web Services, ou ADWS, est un service activé par défaut sur les contrôleurs de domaine depuis Windows Server 2008. Il nous permet d’interagir avec LDAP, de poser des requêtes en notre nom et de transmettre nos requêtes par proxy. Nous avons remarqué qu’il n’était pas possible d’interagir avec ADWS via un hébergeur Linux, ce qui nous a incités à créer SoapY. SoapY est confronté à ses propres difficultés au cours du développement, nous obligeant à créer des implémentations de protocoles personnalisés en nous appuyant peu sur les spécifications de Microsoft. SoaPy a également ses propres considérations en matière de détection, car il s’agit d’une méthode d’énumération LDAP beaucoup plus furtive que celle qui consiste à interagir directement avec le service LDAP.
Nous espérons que SoaPy jette les bases d’une interaction avec ADWS sur un hôte Linux, ou tout autre service utilisant les protocoles sous-jacents nécessaires à l’interaction. C’est un objectif majeur de faire fusionner notre code dans Impacket, afin de garantir que notre code soit large et accessible tout en incitant la communauté à utiliser notre projet comme point de départ pour un développement futur.