Seiring waktu, penghitungan lingkungan Active Directory (AD) yang ditargetkan dan skala besar semakin terdeteksi karena solusi defensif modern. Selama magang kami di X-Force Red musim panas lalu, kami melihat SoaSound FalconForce menjadi populer untuk menyebutkan lingkungan Active Directory. Alat ini membawa perspektif baru ke enumerasi Active Directory dengan melakukan pengumpulan melalui Active Directory Web Services (ADWS) alih-alih langsung melalui Lightweight Directory Access Protocol (LDAP) seperti yang dimiliki alat enumerasi Active Directory lainnya di masa lalu. Kami tertarik untuk memperluas contoh penggunaan tradecraft ini, yang akhirnya mengarahkan kami untuk menyederhanakan interaksi dengan ADWS dari host Linux melalui pengembangan perpustakaan portabel yang ditulis dalam Python dan alat khusus untuk memanfaatkan perpustakaan tersebut yang kami beri nama SoaPy.
ADWS diaktifkan secara default pada Active Directory Domain Controllers (DC) pada port 9389 dan digunakan oleh berbagai alat administrasi sistem Microsoft, seperti Active Directory Administrative Center (ADAC) dan modul Active Directory dalam PowerShell. Klien berkomunikasi dengan ADWS menggunakan pesan SOAP (Simple Object Access Protocol) dalam format XML. Pesan-pesan ini diurai oleh layanan web, yang kemudian berinteraksi dengan layanan LDAP lokal pada pengontrol domain. Hal ini memungkinkan interaksi AD yang khas (termasuk membaca dan menulis ke objek) menggunakan izin AD yang ditetapkan untuk pengguna kueri tanpa memerlukan pengikatan langsung ke layanan LDAP itu sendiri. Selain itu, ketika koneksi diteruskan dari layanan ADWS lokal ke LDAP, setiap interaksi yang dilakukan menggunakan mekanisme ini ditampilkan sebagai pengontrol domain lokal yang terhubung ke dirinya sendiri dalam Log Peristiwa Windows.
Gambar 1 – Interaksi klien dengan LDAP melalui ADWS
ADWS menampung kumpulan protokol yang diekspos melalui titik akhir layanan web. Setiap titik akhir memiliki Uniform Resource Identifier (URI) yang mengidentifikasi secara unik dan didahului oleh “net.tcp” jenis pengikatan. Dua mekanisme otentikasi didukung untuk interaksi. Termasuk autentikasi “Windows Integrated” untuk menggunakan protokol asli Windows yang disebut NNS (.NET NegotiateStream Protocol), serta mekanisme “Username/Password” yang digunakan untuk otentikasi melalui Transport Layer Security (TLS). Titik akhir yang berbeda menyediakan fungsionalitas yang berbeda dari ADWS. Misalnya, titik akhir “Enumerasi” dapat digunakan untuk menanyakan dan membaca data LDAP, dan titik akhir “Sumber Daya” dapat digunakan untuk menulis data LDAP. Daftar lengkap titik akhir layanan web ditunjukkan di bawah ini.
Gambar 2 — Titik akhir yang tersedia untuk interaksi ADWS
Sebelum pembuatan perpustakaan kami, berinteraksi dengan ADWS hanya dapat dilakukan dengan menggunakan alat buatan Microsoft seperti RSAT (Remote Server Administration Tools), dan alat yang dibuat menggunakan .NET, yang pada dasarnya membatasi penggunaan protokol ke host Windows. Memiliki kemampuan untuk berinteraksi dengan layanan ini dari host Linux dapat memberikan profesional keamanan opsi tambahan untuk interaksi Active Directory.
Kesenjangan ini memotivasi kami untuk membuat SoAPy, alat untuk berinteraksi dengan LDAP melalui ADWS dari host Linux. Membuat alat ini memiliki berbagai tantangan untuk diatasi, karena protokol yang mendasari yang digunakan untuk berinteraksi dengan ADWS belum diimplementasikan dalam Python. Kurangnya dokumentasi tentang protokol-protokol ini semakin memperumit masalah dan membuat kami melakukan reverse engineering baik melalui analisis kode sumber maupun pemeriksaan terhadap tangkapan paket.
Beberapa teknologi yang akhirnya kami terapkan di Python untuk berhasil berkomunikasi melalui ADWS termasuk NNS (.NET NegotiateStream Protocol), NMF (.NET Message Framing Protocol) dan NBFSE (.NET Binary Format: SOAP Extension). Implementasi ini dengan sisa alat kami berjumlah sekitar 5.000 baris kode. Karena jumlah lapisan protokol yang relatif tidak jelas yang diperlukan untuk berinteraksi dengan LDAP melalui ADWS, butuh beberapa bulan kerja bahkan sebelum dapat membuat kueri sederhana melalui ADWS.
Gambar 3 — Tumpukan protokol untuk berinteraksi dengan ADWS
Lapisan protokol pertama yang harus direkayasa oleh tim kami untuk berinteraksi dengan ADWS adalah NMF, spesifikasi protokol ini dapat ditemukan di sini. Protokol ini mendefinisikan bagaimana pesan harus dibingkai dan terutama digunakan untuk membingkai pesan SOAP. NMF menyertakan jabat tangan awal yang digunakan untuk menetapkan sesi, dengan pesan pertama yang dikirim dari klien adalah pesan Pembukaan NMF. Pesan ini memuat mode operasi (yang selalu menggunakan duplex mode dalam kasus ADWS), sebuah via record yang memungkinkan kita menentukan titik akhir web ADWS pada server yang akan digunakan untuk berinteraksi, dan terakhir format enkode yang akan dipakai untuk mentransfer data. Contoh kode yang menunjukkan struktur pesan-pesan tersebut ditampilkan pada Gambar 4. Sejauh yang kami pahami, satu-satunya format enkode yang didukung adalah NBFSE, yang akan dibahas lebih lanjut nanti. Seperti yang terlihat di bawah ini, format rekaman via selalu diawali dengan “net.tcp://”, diikuti oleh nama host dari server yang diinginkan, port untuk layanan ADWS dan akhirnya titik akhir web yang ditentukan., Saat meminta data dari LDAP, kami ingin menggunakan titik akhir “Enumerasi”.
Gambar 4 — Struktur Pembukaan NMF
Setelah pesan Pembukaan NMF, klien mengirimkan pesan Permintaan Upgrade NMF (0x9), meminta izin untuk meningkatkan sesi menggunakan otentikasi NNS dan memulai jabat tangan NNS. Jika server mengizinkan permintaan ini, ia merespons dengan pesan NMF Upgrade Response (0xA).
NNS berfungsi untuk menyediakan framing untuk data Generic Security Service aplikasi Program Interface (GSS-API) dan menggunakan Simple and Protected GSS-API Negotiation (SPNEGO) untuk menegosiasikan apakah akan menggunakan protokol otentikasi NTLM atau Kerberos. Selain itu, NNS juga menyediakan framing untuk autentikasi melalui NTLM atau Kerberos. Spesifikasi untuk NNS dapat ditemukan di sini. Contoh di bawah ini berfokus pada otentikasi menggunakan NTLM melalui NNS.
Jabat tangan NNS selanjutnya dikirim oleh klien untuk memulai proses autentikasi. Ini secara khusus mencakup payload otentikasi yang berisi token otentikasi, yang kami hasilkan menggunakan pustaka SPNEGO Impacket.
Gambar 5 — Struktur jabat tangan NNS
Server kemudian mengirim kembali pesan NNS NTLMSSP_challenge, yang berisi tantangan yang digunakan untuk membangun NTLMSSP_AUTH sebagai tanggapan tantangan untuk dikirim kembali ke server untuk autentikasi. Setelah berhasil mengotentikasi, server kemudian mengirimkan kembali pesan jabat tangan NNS terakhir (0x15) yang menunjukkan status autentikasi. Yang perlu diperhatikan adalah bahwa kami dengan cepat mengetahui bahwa ADWS tidak rentan terhadap serangan relay NTLM karena penandatanganan pesan diperlukan di sisi server.
Setelah koneksi NMF berhasil ditingkatkan ke NNS dan klien telah diautentikasi ke server, klien mengirimkan pesan NMF Preamble End (0xC), memberi tahu server bahwa pembukaan telah selesai. Server merespons dengan pesan Pengakuan Pembukaan NMF (0xB), mengakui pembukaan selesai dan klien sekarang dapat mengirim data.
Seperti yang telah disebutkan sebelumnya, data yang dikirim ke server harus terstruktur dalam format NBFSE, seperti yang didefinisikan oleh spesifikasi di sini. NBFSE digunakan untuk menyandikan atau serialisasi data SOAP untuk dikirim melalui NMF. NBFSE adalah perpanjangan dari NBFS (.NET Binary Format: SOAP Data Structure), yang dengan sendirinya merupakan perpanjangan dari NBFX (.NET Binary Format: XML Data Structure), mengharuskan kita untuk mengimplementasikan ketiga spesifikasi pemformatan XML. NBFSE memerlukan penggunaan kamus in-band untuk prosedur pengurangan data, tetapi kami menemukan persyaratan ini dapat dilewati dengan mengirim pesan dengan kamus in-band kosong.
Setelah menerapkan NBFSE, fokus kami bergeser untuk memahami bagaimana klien berinteraksi dengan ADWS setelah menyelesaikan proses autentikasi. Awalnya, kami ingin menanyakan LDAP, jadi pesan data pertama yang kami terapkan adalah pesan Enumerasi ADWS. Pesan ini mencakup kueri LDAP yang harus digunakan oleh server untuk menanyakan layanan LDAP lokal, serta daftar atribut LDAP yang harus dikembalikan untuk setiap objek. Selain itu, setiap pesan enumerasi mendefinisikan Tindakan “Menghitung” dan titik akhir “Enumerasi”. Perhatikan bahwa setiap pesan dari titik ini adalah pesan data SOAP lengkap; misalnya, pesan Enumerasi ditampilkan di bawah ini:
Gambar 6 – Pesan Enumerasi ADWS
Setelah menerima pesan Enumeration, server merespons dengan pesan yang berisi string sesi, yang disebut Konteks Enumeration dalam bentuk Universally Unique Identifier (UUID). Kita kemudian dapat menggunakan Konteks Enumerasi ini dalam pesan Pull, untuk menarik hasil LDAP dari server. Pesan Pull ditunjukkan di bawah ini yang berisi tindakan "Pull" yang sesuai dan definisi Konteks Pencacahan.
Gambar 7 - Pesan TARIK ADWS
Setelah pesan ini dikirim ke server, server akan merespons dengan informasi LDAP dalam format SOAP, yang kemudian dapat diurai lebih lanjut oleh klien penerima.
Interaksi pesan lengkap antara klien dan server ditunjukkan di bawah ini.
Gambar 8 – Interaksi klien-server ADWS
SoaPy adalah tool Python yang kami buat yang menggunakan pustaka protokol yang mendasari ini untuk melakukan tindakan pengintaian dan modifikasi LDAP terhadap instance ADWS jarak jauh. Ini mencakup kumpulan kueri dibangun sebelumnya yang digunakan untuk tindakan pengintaian AD umum seperti enumerasi akun dengan set atribut “servicePrincipalName”, dan identifikasi akun yang dikonfigurasi untuk delegasi terbatas dan tidak dibatasi. SoaPy juga menyertakan tanda untuk kueri yang dibuat khusus yang dipilih operator, serta opsi untuk menulis ke atribut “msDs-AllowedToActOnBehalfOfOtherIdentity” pada objek LDAP untuk mengeksploitasi Resource-Based Constrained Delegation (RBCD).
Sebagian besar konvensi penggunaan skrip contoh impacket umum dibawa ke SoAPy karena tujuan awal kami untuk proyek ini adalah membuat alat yang dapat dilapisi secara efektif dengan rangkaian Impacket. Memanfaatkan rangkaian Impacket membuat interaksi dengan protokol autentikasi Active Directory yang terdokumentasi dengan baik seperti NTLM dan Kerberos cukup mudah, tetapi karena proyek Impacket saat ini tidak mendukung NNS, NMF, dll. kami memperluas proyek dengan protokol tambahan yang kami terapkan di SoAPy.
Sebagai contoh, SoAPy dapat digunakan untuk mengambil akun pengguna dengan atribut “servicePrincipalName” yang ditetapkan dengan meneruskan flag “—spns”:
Gambar 9 – Pencacahan akun layanan menggunakan SoAPY
Dalam demo di atas, satu hasil dikembalikan — pengguna “mssql_svc”. Saat ini, hanya subset default atribut yang ditampilkan untuk objek yang dikembalikan, tetapi di masa mendatang, kami ingin mengizinkan operator untuk menyesuaikan atribut tertentu untuk dikembalikan oleh kueri.
SoAPy tersedia sebagai alat sumber terbuka di halaman resmi IBM® X-Force Red GitHub, di https://github.com/xforcered/SoaPy.
Mengumpulkan catatan dari ADWS untuk membuat ulang protokol ini terbukti sulit, karena satu-satunya mekanisme pencatatan yang diidentifikasi untuk mengumpulkan informasi tentang protokol adalah pencatatan Windows Communication Foundation (WCF) (diaktifkan melalui file konfigurasi layanan ADWS) dan pencatatan .NET. Sebagian besar proses pengembangan dilakukan melalui pengamatan lalu lintas jaringan yang dihasilkan oleh modul Active Directory PowerShell, ulasan pencatatan WCF dan ulasan setiap spesifikasi protokol dalam tumpukan protokol.
WCF logging dapat diaktifkan dengan memodifikasi “C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config”. Konfigurasi spesifik diperinci dalam dokumentasi resmi Microsoft.
Pencatatan LDAP adalah metode deteksi enumerasi yang digunakan untuk mengumpulkan informasi tambahan tentang detail interaksi LDAP di lingkungan Active Directory. Beberapa informasi penting yang dikembalikan dari pencatatan termasuk alamat klien yang memulai kueri, komputer dari mana query berasal, string filter LDAP yang digunakan, atribut yang dipilih untuk dikembalikan dan akhirnya konteks pengguna yang digunakan untuk autentikasi ke server LDAP.
Sebagai contoh, tangkapan layar berikut adalah Windows Event Viewer dengan pencatatan LDAP diaktifkan setelah melakukan enumerasi Active Directory dengan SoaPy.
Informasi tentang cara mengaktifkan pencatatan LDAP dapat ditemukan di sini.
Gambar 10 – Perspektif Penampil Peristiwa tentang enumerasi melalui ADWS
Metode deteksi rekap LDAP yang umum masih berlaku saat mendeteksi enumerasi dari SoAPy. Meskipun klien tidak berinteraksi langsung dengan layanan LDAP, interaksi melalui ADWS tidak sepenuhnya menutupi informasi yang berguna. Indikator berbahaya masih diteruskan ke layanan LDAP dari ADWS, termasuk Filter LDAP, pemilihan atribut, dan akun pengguna asal yang menyediakan autentikasi. Tangkapan layar di atas menampilkan kueri LDAP mencurigakan umum yang digunakan untuk menghitung akun Kerberoastable. Deteksi LDAP yang diimplementasikan sebelumnya masih akan dipicu dari peristiwa ini, meskipun saat kueri dibuat terhadap ADWS, log akan menampilkan komputer sumber dari pengontrol domain lokal. Log juga akan menunjukkan pengguna hak istimewa rendah dalam grup “Pengguna Domain” yang telah melakukan kueri dari DC karena akses LDAP tidak langsung melalui ADWS, yang tidak biasa dalam skenario lain mengingat izin yang diperlukan untuk akses ke DC. Selain itu, kenari Daftar Akses Kontrol Sistem (SACL) tetap berlaku pada akses pencatatan ke objek-objek tertentu saat menggunakan SoaPy, sehingga dapat dengan cepat memberi peringatan kepada pihak pertahanan mengenai aktivitas mencurigakan.
Sementara deteksi enumerasi dari SoAPy mirip dengan deteksi enumerasi LDAP langsung, kompleksitas tambahan muncul ketika menemukan sumber enumerasi sebagai bagian dari prosedur respons insiden . Ini karena komputer asal dan alamat IP dalam acara selalu menjadi DC. Salah satu cara untuk menemukan sumber pencacahan potensial adalah dengan mengorelasikan pengguna yang melakukan enumerasi dengan sesi aktif di lingkungan. Meskipun pendekatan ini dapat efektif apabila konteks pengguna yang digunakan untuk menjalankan kemampuan pasca-eksploitasi sama dengan konteks pengguna yang melakukan enumerasi, hal ini tidak selalu menjadi metode yang sepenuhnya efektif. Hal ini disebabkan kemungkinan kemampuan pasca-eksploitasi digunakan untuk proksi lalu lintas ke lingkungan dan memberikan otentikasi menggunakan kredensial yang dicuri.
Dengan mempertimbangkan pertimbangan ini, peringatan khas untuk pengintaian berbasis LDAP harus tetap efektif dalam memperingatkan pembela tentang adanya perilaku anomali di lingkungan dan dapat memberikan Indikator-of-Comprome (IOC) yang solid untuk objek pengguna yang digunakan untuk melakukan kueri. Namun, mereka mungkin memerlukan tinjauan tambahan untuk menentukan host sumber tindakan.
Kami bermaksud untuk mempertahankan basis kode kami dan lanjutkan untuk meningkatkannya sambil menambahkan fitur baru dan peningkatan kualitas hidup termasuk opsi tambahan untuk pengumpulan atribut berbutir halus, penulisan atribut khusus, dan enumerasi sertifikat ADCS. Mengintegrasikan pustaka dasar kami dan SoAPY ke Impacket dalam bentuk GitHub Pull Request masih menjadi tujuan bagi kami. Kami merasa bahwa proses interaksi backend kami untuk bekerja dengan NNS, NMF, dan sebagainya dapat berguna bagi pengembang tooling di masa depan yang ingin berinteraksi dengan layanan lain yang menggunakan protokol ini, terutama karena sejauh pengetahuan kami, kode Python untuk berinteraksi dengan protokol tersebut sebelumnya belum tersedia.
Active Directory Web Services, atau ADWS, telah menjadi layanan default yang diaktifkan pada Pengontrol Domain sejak Windows Server 2008, dan memungkinkan kita untuk berinteraksi dengan LDAP, membuat kueri atas nama kita dan memproksi kueri kita. Kami melihat interaksi dengan ADWS sebelumnya tidak mungkin dilakukan melalui host Linux, yang memotivasi kami untuk membuat SoAPy. SoAPy datang dengan kesulitannya sendiri selama pengembangan, mengharuskan kami untuk membuat implementasi protokol khusus dengan sedikit bantuan dari spesifikasi Microsoft. SoAPy juga memiliki pertimbangan deteksi yang menyertainya sendiri, menjadi metode enumerasi LDAP yang jauh lebih tersembunyi daripada berinteraksi langsung dengan layanan LDAP.
Kami berharap SoAPy meletakkan dasar untuk berinteraksi dengan ADWS melalui host Linux, atau layanan apa pun yang menggunakan protokol dasar yang diperlukan untuk interaksi. Ini adalah tujuan utama untuk menggabungkan kode kami ke Impacket, membantu memastikan bahwa kode kami tersebar luas dan dapat diakses sambil mendorong komunitas untuk menggunakan proyek kami sebagai titik lompatan untuk pengembangan lebih lanjut.