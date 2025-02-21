Nel corso del tempo, le enumerazioni mirate e su larga scala degli ambienti Active Directory (AD) sono state sempre più rilevate grazie alle moderne soluzioni difensive. Durante il nostro tirocinio presso X-Force Red la scorsa estate, abbiamo notato che SOAPHound di FalconForce stava diventando popolare per l'enumerazione degli ambienti Active Directory. Questo strumento ha portato una nuova prospettiva all'enumerazione di Active Directory eseguendo la raccolta tramite Active Directory Web Services (ADWS) invece che direttamente tramite il Lightweight Directory Access Protocol (LDAP) come avevano fatto altri strumenti di enumerazione AD in passato. Eravamo interessati ad ampliare i casi d'uso di questo tradecraft, che ci ha portato a semplificare l'interazione con ADWS dagli host Linux attraverso lo sviluppo di una libreria portatile scritta in Python e uno strumento personalizzato per utilizzare tale libreria che abbiamo chiamato SoaPy.
ADWS è abilitato di default sugli Active Directory Domain Controller (DC) sulla porta 9389 ed è utilizzato da una varietà di strumenti di amministrazione Microsoft per i sistemi, come Active Directory Administrative Center (ADAC) e il modulo Active Directory all'interno di PowerShell. I clienti comunicano con ADWS utilizzando messaggi SOAP (Simple Object Access Protocol) in formato XML. Questi messaggi vengono analizzati dal servizio web, che poi interagisce con il servizio LDAP locale sul controller di dominio. Questa modalità consente un'interazione tipica AD (inclusa sia la lettura che la scrittura sugli oggetti) utilizzando i permessi AD assegnati all'utente che interroga senza richiedere un collegamento diretto al servizio LDAP stesso. Inoltre, man mano che le connessioni vengono passate dal servizio ADWS locale a LDAP, qualsiasi interazione effettuata tramite questo meccanismo viene visualizzata come il controller di dominio locale che si collega a se stesso all'interno dei registri eventi di Windows.
Figura 1 – Interazione del cliente con LDAP tramite ADWS
ADWS ospita una serie di protocolli che vengono esposti tramite endpoint di servizi web. Ogni endpoint dispone di un Uniform Resource Identifier (URI) identificativo univoco ed è preceduto da un tipo di collegamento "net.tcp". Per l'interazione sono supportati due meccanismi di autenticazione. Inclusa l'autenticazione "Windows Integrated" per l'uso di un protocollo nativo Windows chiamato NNS (.NET NegotiateStream Protocol), così come il meccanismo "Username/Password" utilizzato per l'autenticazione su Transport Layer Security (TLS). Endpoint diversi forniscono funzionalità diverse da ADWS. Ad esempio, l'endpoint "Enumerazione" può essere utilizzato per interrogare e leggere i dati LDAP, mentre l'endpoint "Risorsa" può essere utilizzato per scrivere i dati LDAP. L'elenco completo degli endpoint dei servizi web è mostrato di seguito.
Figura 2 – Endpoint disponibili per l'interazione con ADWS
Prima della creazione della nostra libreria, interagire con ADWS poteva essere effettuato solo utilizzando strumenti sviluppati da Microsoft come RSAT (Remote Server Administration Tools) e strumenti creati con .NET, che di fatto limitava l'uso del protocollo agli host Windows. La possibilità di interagire con questo servizio da un host Linux potrebbe offrire ai professionisti della sicurezza ulteriori opzioni per l'interazione con Active Directory.
Questa lacuna ci ha spinto a creare SoaPy, uno strumento per interagire con LDAP su ADWS da un host Linux. La creazione di questo strumento ha comportato una serie di sfide da superare, in quanto i protocolli sottostanti utilizzati per interagire con ADWS non erano ancora stati implementati in Python. La relativa mancanza di documentazione su questi protocolli ha complicato ulteriormente le cose e ha portato a eseguire il reverse engineering sia attraverso l'analisi del codice sorgente che attraverso l'esame delle acquisizioni dei pacchetti.
Alcune delle tecnologie che abbiamo implementato in Python per comunicare con successo tramite ADWS includono NNS (.NET NegotiateStream Protocol), NMF (.NET Message Framing Protocol) e NBFSE (.NET Binary Format: SOAP Extension). Queste implementazioni, insieme al resto del nostro strumento, ammontano a circa 5.000 righe di codice. A causa del numero di livelli di protocollo relativamente oscuro richiesto per interagire con LDAP su ADWS, ci sono voluti diversi mesi di lavoro prima di riuscire anche solo a effettuare una semplice query su ADWS.
Figura 3 – Stack di protocolli per interagire con ADWS
Il primo livello di protocollo che il nostro team ha dovuto ingegnerizzare per interagire con ADWS era NMF, la specifica di questo protocollo si trova qui. Questo protocollo definisce il modo in cui i messaggi devono essere inquadrati e viene utilizzato principalmente per inquadrare i messaggi SOAP. L'NMF include un handshake iniziale utilizzato per stabilire la sessione, con il primo messaggio inviato dal client che è il messaggio di preambolo NMF. Questo messaggio include la modalità di funzionamento (sempre in modalità duplex nel caso di ADWS), un record via, che ci permette di impostare l'endpoint ADWS designato sul server con cui interagire e, infine, il formato di codifica da utilizzare per il trasferimento dei dati. Un esempio in codice che mostra la struttura di questi messaggi è mostrato nella Figura 4. Per quanto ne so, l'unico formato di codifica supportato è NBFSE, di cui parleremo più avanti. Come si vede di seguito, il formato dei record via è sempre preceduto da "net.tcp://", seguito dal nome host del server desiderato, dalla porta per il servizio ADWS e infine dall'endpoint web specificato. Quando si richiedono dati da LDAP, vogliamo utilizzare l'endpoint "Enumerazione".
Figura 4 – Struttura di NMF Preamble
Dopo il messaggio NMF Preamble, il cliente invia un messaggio NMF Upgrade Request (0x9), richiedendo l'autorizzazione ad aggiornare la sessione utilizzando l'autenticazione NNS e avviare l'handshake NNS. Se il server accetta questa richiesta, risponde con un messaggio NMF Upgrade Response (0xA).
Le funzioni NNS forniscono il framing per i dati GSS-API (Generic Security Service Applicazione Program Interface) e utilizzano la negoziazione SPNEGO (Simple and Protected GSS-API) per negoziare se utilizzare i protocolli di autenticazione NTLM o Kerberos. Inoltre, NNS fornisce anche il framing per l'autenticazione tramite NTLM o Kerberos. Le specifiche per NNS sono disponibili qui. L'esempio seguente si concentra sull'autenticazione tramite NTLM su NNS.
Successivamente il cliente invia un handshake NNS per iniziare il processo di autenticazione. Include in particolare un payload di autenticazione contenente token di autenticazione, che generiamo utilizzando la libreria SPNEGO di Impacket.
Figura 5 – Struttura della stretta di mano NNS
Il server invia quindi un messaggio NNS NTLMSSP_Challenge, che contiene una sfida utilizzata per costruire il NTLMSSP_AUTH come risposta alla sfida da inviare al server per l'autenticazione. Dopo aver autenticato con successo, il server invia un ultimo messaggio di handshake NNS (0x15) che indica lo stato dell'autenticazione. È degno di nota che abbiamo scoperto rapidamente che ADWS non era vulnerabile agli attacchi relay NTLM poiché la firma dei messaggi era richiesta lato server.
Dopo che la connessione NMF è stata aggiornata correttamente a NNS e il client si è autenticato sul server, il client invia il messaggio NMF Preamble End (0xC), comunicando al server che Preamble è stato completato. Il server risponde con un messaggio NMF Preamble Acknowledgement (0xB), riconoscendo che Preamble è terminato e che il client può ora inviare i dati.
Come accennato in precedenza, i dati inviati al server devono essere strutturati nel formato NBFSE, come definito dalla specifica qui. NBFSE viene utilizzato per codificare o serializzare i dati SOAP da inviare tramite NMF. NBFSE è un'estensione di NBFS (.NET Binary Format: SOAP Data Structure), che a sua volta è un'estensione di NBFX (.NET Binary Format: XML Data Structure), richiedendo di implementare tutte e tre le specifiche di formattazione XML. NBFSE richiede l'uso di un dizionario in banda per le procedure di riduzione dei dati, ma abbiamo scoperto che questo requisito può essere aggirato inviando messaggi con un dizionario in banda vuoto.
Dopo l'implementazione di NBFSE, il nostro focus si è spostato sulla comprensione di come un client interagisce con ADWS dopo aver completato il processo di autenticazione. Inizialmente volevamo interrogare LDAP, quindi il primo messaggio di dati che abbiamo implementato è stato il messaggio di enumerazione ADWS. Questo messaggio include la query LDAP che dovrebbe essere utilizzata dal server per interrogare il servizio LDAP locale, oltre a un elenco degli attributi LDAP che dovrebbero essere restituiti per ciascun oggetto. Inoltre, ogni messaggio di enumerazione definisce l'azione "Enumerazione" e l'endpoint "Enumerazione". Nota che ogni messaggio da questo momento in poi è un messaggio di dati SOAP completo; ad esempio, di seguito è riportato un messaggio di enumerazione:
Figura 6 – Messaggio di enumerazione ADWS
Dopo aver ricevuto il messaggio di enumerazione, il server risponde con un messaggio contenente una stringa di sessione, chiamata contesto di enumerazione sotto forma di identificatore univoco universale (UUID). Possiamo quindi utilizzare questo contesto di enumerazione in un messaggio Pull per estrarre i risultati LDAP dal server. Di seguito è riportato il messaggio Pull contenente un'azione appropriata di "Pull" e una definizione del contesto di enumerazione.
Figura 7 - Messaggio Pull di ADWS
Dopo l'invio di questo messaggio al server, il server risponderà con informazioni LDAP in formato SOAP, che potranno quindi essere ulteriormente analizzate dal client ricevente.
L'interazione completa dei messaggi tra client e server è mostrata di seguito.
Figura 8 – Interazione client-server ADWS
SoaPy è uno strumento Python da noi creato che utilizza queste librerie di protocolli sottostanti per eseguire azioni di ricognizione e modifica LDAP contro istanze ADWS remote. Include una raccolta di query precostituite utilizzate per azioni comuni di ricognizione AD, come l'enumerazione degli account con l'insieme di attributi "servicePrincipalName" e l'identificazione di account configurati per deleghe vincolate e non. SoaPy include anche un flag per query personalizzate scelte dall'operatore, oltre all'opzione di scrittura nell'attributo "msDs-AllowedToActOnBehalfOfOtherIdentity" sugli oggetti LDAP per utilizzare la Resource-Based Constrained Delegation (RBCD).
La maggior parte delle convenzioni comuni di utilizzo degli script di esempio Impacket sono state trasferite in SoaPy, poiché il nostro obiettivo originale per questo progetto era quello di creare uno strumento che potesse sovrapporsi efficacemente alla suite Impacket. L'utilizzo della suite Impacket ha reso l'interazione con protocolli di autenticazione Active Directory ben documentati come NTLM e Kerberos piuttosto facile, ma poiché l'attuale progetto Impacket non supportava NNS, NMF, ecc., abbiamo esteso il progetto con i protocolli aggiuntivi implementati in SoaPy.
Ad esempio, SoaPy può essere utilizzato per recuperare gli account utente con l'attributo "servicePrincipalName" impostato passando il flag "–spns":
Figura 9 – Enumerazione degli account di servizio utilizzando SoaPy
Nella demo sopra riportata viene restituito un singolo risultato: l'utente "mssql_svc". Attualmente, viene visualizzato solo un sottoinsieme predefinito di attributi per gli oggetti restituiti, ma in futuro vorremmo consentire all'operatore di personalizzare gli attributi specifici da restituire tramite la query.
SoaPy è disponibile come strumento open-source sulla pagina ufficiale IBM X-Force Red GitHub, all'indirizzo https://github.com/xforcered/SoaPy.
La raccolta di registri da ADWS per ricreare questi protocolli si è rivelata difficile, poiché gli unici meccanismi di registrazione identificati per raccogliere informazioni sul protocollo erano la registrazione di Windows Communication Foundation (WCF) (abilitata tramite il file di configurazione del servizio ADWS) e la registrazione .NET. La maggior parte del processo di sviluppo è stata effettuata tramite l'osservazione del traffico di rete generato dal modulo di Active Directory di PowerShell, la revisione della registrazione WCF e la lettura di ogni specifica di protocollo nello stack di protocolli.
La registrazione WCF può essere abilitata modificando “C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config”. I dettagli della configurazione sono riportati nella documentazione ufficiale Microsoft.
La registrazione LDAP è un metodo di rilevamento delle enumerazioni utilizzato per raccogliere informazioni aggiuntive sui dettagli delle interazioni LDAP negli ambienti Active Directory. Alcune delle informazioni importanti restituite dalla registrazione includono l'indirizzo che ha avviato la query, il computer da cui proviene la query, la stringa di filtro LDAP utilizzata, gli attributi selezionati per il ritorno e infine il contesto utente utilizzato per l'autenticazione al server LDAP.
Ad esempio, la schermata seguente mostra il Windows Event Viewer con la registrazione LDAP abilitata dopo aver effettuato l'enumerazione di Active Directory con SoaPy.
Le informazioni sull'abilitazione della registrazione LDAP sono disponibili qui.
Figura 10 – Prospettiva di enumerazione di Event Viewer tramite ADWS
I comuni metodi di rilevamento della ricognizione LDAP sono ancora validi quando si rileva l'enumerazione da SoaPy. Anche se il client non interagisce direttamente con il servizio LDAP, l'interazione da parte di ADWS non oscura tutti gli elementi utili. Gli indicatori dannosi vengono ancora trasmessi al servizio LDAP da ADWS, compresi il filtro LDAP, la selezione degli attributi e l'account utente di origine che ha fornito l'autenticazione. La schermata sopra mostra una comune query LDAP sospetta utilizzata per enumerare gli account di Kerberoasting. I rilevamenti LDAP implementati in precedenza verranno comunque attivati da questo evento, anche se, poiché la query è stata effettuata su ADWS, il registro mostrerà un computer di origine di un controller di dominio locale. Il registro mostrerà anche un utente con basso privilegio nel gruppo "Utenti del dominio" che ha eseguito una query dal DC a causa dell'accesso indiretto LDAP tramite ADWS, una cosa insolita in qualsiasi altro scenario, date le autorizzazioni richieste per l'accesso al DC. Inoltre, i canary System Access Control List (SACL) sono ancora efficaci nel registrare l'accesso a specifici oggetti durante l'uso di SoaPy, avvisando rapidamente i difensori di attività sospette.
Sebbene il rilevamento dell'enumerazione da SoaPy sia simile al rilevamento dell'enumerazione diretta LDAP, si verifica una complessità aggiuntiva quando si trova la fonte dell'enumerazione come parte delle procedure di risposta agli incidenti. Tutto questo è dovuto al fatto che il computer di origine e l'indirizzo IP nell'evento sono sempre il DC. Un modo per individuare la potenziale fonte dell'enumerazione sarebbe quello di correlare l'utente che esegue l'enumerazione con le sessioni attive nell'ambiente. Sebbene questo approccio possa essere efficace se il contesto utente utilizzato per azionare la funzionalità di post-sfruttamento è lo stesso del contesto utente che esegue l'enumerazione, potrebbe non essere sempre completamente efficace. Questo è dovuto alla possibilità che la funzionalità post-sfruttamento venga utilizzata per inoltrare il traffico nell'ambiente e fornire l'autenticazione utilizzando credenziali rubate.
Tenendo conto di queste considerazioni, gli avvisi tipici per la ricognizione basata su LDAP dovrebbero comunque essere efficaci nell'avvertire i difensori della presenza di comportamenti anomali nell'ambiente e possono fornire un solido indicatore di compromissione (IOC) per l'oggetto utente utilizzato per eseguire la query. Tuttavia, potrebbero richiedere ulteriori revisioni per determinare l'ospite originario dell'azione.
Intendiamo mantenere la nostra base di codice e continuare a migliorarla, aggiungendo nuove funzionalità e miglioramenti alla qualità della vita, incluse opzioni aggiuntive per la raccolta di attributi dettagliata, la scrittura personalizzata di attributi e l'enumerazione dei certificati ADCS. Integrare le nostre librerie sottostanti e SoaPy in Impacket sotto forma di GitHub Pull Request è ancora un nostro obiettivo. Riteniamo che la nostra interazione backend per interagire con NNS, NMF, ecc. possa essere utile per futuri sviluppatori di strumenti che intendono interagire con altri servizi che utilizzano questi protocolli, principalmente perché, per quanto ne sappiamo, il codice Python per interagire con questi protocolli non esisteva prima.
Active Directory Web Services, o ADWS, è un servizio abilitato per impostazione predefinita sui controller di dominio a partire da Windows Server 2008 e ci consente di interagire con LDAP, effettuando query per nostro conto e inoltrando le nostre query tramite proxy. Abbiamo notato che prima non era possibile interagire con ADWS tramite un host Linux, motivandoci a creare SoaPy. SoaPy ha presentato delle difficoltà durante lo sviluppo, costringendoci a creare implementazioni di protocolli personalizzati con scarso supporto da parte delle specifiche Microsoft. SoaPy ha anche le sue considerazioni di rilevamento associate, essendo un metodo di enumerazione LDAP significativamente più furtivo rispetto all'interazione diretta con il servizio LDAP.
Ci auguriamo che SoaPy getti le basi per interagire con ADWS su un host Linux, o con qualsiasi servizio che utilizzi i protocolli sottostanti necessari per l'interazione. Uno degli obiettivi principali è integrare il nostro codice in Impacket, contribuendo a garantire che il nostro codice sia diffuso e accessibile e spingendo al contempo la community a utilizzare il nostro progetto come punto di partenza per ulteriori sviluppi.