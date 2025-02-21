時間の経過とともに、最新の防御ソリューションにより、Active Directory（AD）環境のターゲットを絞った大規模な列挙の両方がますます検出されるようになりました。昨年の夏、X-Force Redでのインターンシップ中に、FalconForceのSOAPHoundがActive Directory環境を列挙する際に人気が高まっていることに気づきました。このツールは、これまでの他のAD列挙ツールのようにLDAP（Lightweight Directory Access Protocol）を直接経由するのではなく、Active Directory Webサービス（ADWS）を経由して収集を行うことで、Active Directory列挙に新たな視点をもたらした。私たちはこのトレードクラフトのユースケースの拡大に興味を持ち、最終的にはPythonで書かれたポータブル・ライブラリーと、SoaPyと名付けたそのライブラリーを利用するためのカスタム・ツールの開発を通じて、LinuxホストからのADWSとのやり取りを簡素化することにつながりました。
ADWSは、Active Directoryドメインコントローラ（DC）のポート9389でデフォルトで有効になっており、Active Directory Administrative Center（ADAC）やPowerShell内のActive Directoryモジュールなど、さまざまなMicrosoftシステム管理ツールで利用されています。クライアントは、XML形式のSOAP（Simple Object Access Protocol）メッセージを使用してADWSと通信します。これらのメッセージはWebサービスによって解析され、ドメイン・コントローラー上のローカルLDAPサービスと通信します。これにより、LDAPサービス自体への直接バインドを必要とせずに、クエリー・ユーザーに割り当てられたADアクセス許可を使用した一般的なADインタラクション（オブジェクトへの読み取りと書き込みの両方を含む）が可能になります。さらに、接続がローカルのADWSサービスからLDAPに渡されると、このメカニズムを使用して行われた操作はすべて、Windowsイベント・ログ内で自身に接続するローカル・ドメイン・コントローラーとして表示されます。
図1 – ADWSを通じたLDAPとのクライアントインタラクション
ADWSには、エンドポイントを介して公開されるプロトコルのコレクションが格納されます。各エンドポイントには、一意に識別されるUniform Resource Identifier（URI）があり、その前に「net.tcp」という名前が付けられています。バインディング・タイプ。対話には2つの認証メカニズムがサポートされています。NNS（.NET NegotiateStream Protocol）と呼ばれるWindowsネイティブ・プロトコルを使用するための「Windows Integrated」認証と、Transport Layer Security（TLS）経由の認証に使用される「ユーザー名/パスワード」メカニズムが含まれます。異なるエンドポイントは、ADWSの異なる機能を提供します。たとえば、「列挙」エンドポイントは LDAP データのクエリと読み取りに使用でき、「リソース」エンドポイントは LDAP データの書き込みに使用できます。Webサービス・エンドポイントの完全なリストを以下に示します。
図2 – ADWSのインタラクションに利用可能なエンドポイント
ライブラリーが作成される前は、ADWSとの対話は、RSAT（リモート・サーバー管理ツール）などのMicrosoft製ツールや.NETを使用して作成されたツールを利用することによってのみ行われていました。このため、プロトコルの使用は基本的にWindowsホストに限定されていました。Linuxホストからこのサービスと対話できるため、セキュリティー担当者はActive Directoryとの対話のための追加オプションを得ることができます。
このギャップがきっかけとなって、Linux ホストから ADWS を介して LDAP と対話するためのツールである SoaPy を作成することになりました。ADWSとの対話に使用される基礎となるプロトコルがまだPythonで実装されていなかったため、このツールの作成には、克服すべきさまざまな課題がありました。これらのプロトコルに関するドキュメンテーションが比較的不足していたことで、問題はさらに複雑になり、ソースコードの分析とパケットキャプチャーの調査の両方を通じて、プロトコルのリバースエンジニアリングを行うことになりました。
ADWS経由で適切に通信するためにPythonで実装したテクノロジーには、NNS（.NET NegotiateStream Protocol）、NMF（.NET Message Framing Protocol）、NBFSE（.NET Binary Format: SOAP Extension）などがあります。これらの実装と当社のツールの残りのコードは、合計約5,000行のコードになります。ADWS経由でLDAPとやりとりするために必要なプロトコル層の数が比較的不明確なため、ADWS経由で単純なクエリーを実行できるようになるまでに数か月の作業が必要でした。
図3 – ADWSとの対話のためのプロトコル・スタック
ADWSとやりとりするために、私たちのチームが最初にエンジニアとして要求されたプロトコル層はNMFでした。このプロトコルの仕様はこちらで確認できます。このプロトコルはメッセージのフレームワーク方法を定義するもので、主にSOAPメッセージのフレームワークに使用されます。NMFには、セッションを確立するために使用される最初のハンドシェークが含まれており、クライアントから送信される最初のメッセージはNMFプリアンブル・メッセージです。このメッセージには、操作モード（ADWS の場合は常にデュプレックスモード）、経由レコード（サーバー上の指定された ADWS Web エンドポイントを設定して通信する）、最後にデータ転送に使用するエンコード形式が含まれます。これらのメッセージの構造を示すコード例は、図4に示されています。私たちの理解では、サポートされている唯一のエンコーディング形式は、後で言及するNBFSEです。以下に示すように、via records形式は常に「net.tcp://」を付け加えます。その後に目的のサーバーのホスト名、ADWSサービスのポート、そして最後に指定されたWebエンドポイントが表示されます。LDAPからデータを要求するときは、「列挙」エンドポイントを使用します。
図4 – NMFプリアンブル構造
NMFプリアンブル・メッセージに続いて、クライアントはNMFアップグレード要求メッセージ（0x9）を送信し、NNS認証を使用してセッションをアップグレードし、NNSハンドシェークを開始する権限を要求します。サーバーがこのリクエストを許可すると、NMFアップグレード応答メッセージ（0xA）で応答します。
NNS機能は、汎用セキュリティー・サービス・アプリケーション・プログラム・インターフェース（GSS-API）データのフレーミングを提供し、Simple and Protected GSS-API Negoation（SPNEGO）を利用して、NTLMとKerberos認証プロトコルのどちらを使用するかを交渉します。さらに、NNSはNTLMまたはKerberos認証のフレーミングも提供します。NNS の仕様については、ここを参照してください。以下の例では、NNSを介したNTLMを使用した認証に焦点を当てています。
次に、クライアントによってNNSハンドシェイクが送信され、認証プロセスが開始されます。これには、ImpacketのSPNEGOライブラリーを使用して生成する認証トークンを含む認証ペイロードが含まれます。
図5 – NNSハンドシェイクの構造
次に、サーバーは NNS NTLMSSP_Challenge メッセージを送り返します。このメッセージには、認証のためにサーバーに送り返すためのチャレンジ・レスポンスとして NTLMSSP_AUTH を構築するために使用されるチャレンジが含まれています。認証に成功すると、サーバーは認証のステータスを示す最後の NNS ハンドシェイクメッセージ (0x15) を送り返します。注目すべき点は、メッセージ署名がサーバー側で必要であるため、ADWSはNTLMリレー攻撃に対して脆弱ではないことがすぐにわかったことです。
NMF接続がNNSに正常にアップグレードされ、クライアントがサーバーに認証されると、クライアントはNMFプリアンブルエンド・メッセージ（0xC）を送信し、プリアンブルが完了したことをサーバーに伝えます。サーバーは、NMF プリアンブル確認メッセージ (0xB) で応答し、プリアンブルが完了し、クライアントがデータを送信できるようになりました。
前述のように、サーバーに送信されるデータは、ここの仕様で定義されている NBFSE 形式で構造化されている必要があります。NBFSEは、NMF経由で送信されるSOAPデータをエンコードまたはシリアル化するために使用されます。NBFSEはNBFS（.NET Binary Format: SOAP Data Structure）の拡張機能であり、NBFS自体はNBFX（.NET Binary Format: XML Data Structure）の拡張でもあるため、3つのXMLフォーマット仕様すべてを実装する必要があります。NBFSEでは、データ削減手順にインバンド辞書の使用が必要ですが、空白のインバンド辞書を使用してメッセージを送信することで、この要件を回避できることがわかりました。
NBFSEを実装した後、認証プロセス完了後にクライアントがADWSとどのようにやり取りするかを理解することに焦点を移しました。当初はLDAPをクエリーする予定であったため、実装した最初のデータ・メッセージはADWS Enumerationメッセージでした。このメッセージには、サーバーがローカルLDAPサービスを照会するために使用するLDAPクエリーと、各オブジェクトに対して返されるLDAP属性のリストが含まれます。さらに、各列挙メッセージは「列挙」アクションと「列挙」エンドポイントを定義します。この時点以降の各メッセージは完全なSOAPデータ・メッセージであることに注意してください。たとえば、列挙メッセージは次のとおりです。
図 6 - ADWS Enumeration メッセージ
列挙メッセージを受信すると、サーバーは、普遍的に一意の識別子（UUID）の形式で列挙コンテキストと呼ばれるセッション文字列を含むメッセージで応答します。その後、この列挙コンテキストをプル・メッセージで使用して、サーバーからLDAPの成果を引き出すことができます。以下には、「プル」の適切なアクションと列挙コンテキストの定義を含むPullメッセージが示されています。
図 7 — ADWS プルメッセージ
このメッセージがサーバーに送信された後、サーバーはSOAP形式のLDAP情報で応答し、受信したクライアントはこの情報をさらに解析することができます。
クライアントとサーバー間のメッセージやり取りの全文は以下のとおりです。
図8 – ADWSのクライアントとサーバーのやり取り
SoaPyは我々が作成したPython ツールで、これらの基礎となるプロトコルライブラリを使用して、リモートADWSインスタンスに対してLDAP偵察と修正アクションを実行します。このツールには、"servicePrincipalName "属性を持つアカウントの列挙や、制約付き委任と制約なし委任に設定されたアカウントの識別のような、一般的なAD偵察アクションに使用される、事前に構築されたクエリのコレクションが含まれています。SoaPyには、オペレータが選択したカスタムクエリ用のフラグも含まれています。また、リソースベースの制約付き委任(RBCD)をエクスプロイトするために、LDAPオブジェクトの "msDs-AllowedToActOnBehalfOfOtherIdentity "属性に書き込むオプションも含まれています。
このプロジェクトの当初の目標は、Impacketスイートと効果的に重ね合わせることができるツールを作成することであったため、一般的なImpacketサンプルのスクリプト使用規則のほとんどがSoaPyに引き継がれています。Impacketスイートを利用することで、NTLMやKerberosのような十分に文書化されたActive Directory認証プロトコルとのやり取りが非常に簡単になりました。しかし、現在のImpacketプロジェクトはNNSやNMFなどをサポートしていなかったため、SoaPyで実装した追加プロトコルでプロジェクトを拡張しました。
一例として、SoaPyを使用すると、「–spns」フラグを渡すことで「servicePrincipalName」属性が設定されたユーザー・アカウントを取得できます。
図9 – SoaPyを使用したサービス・アカウントの列挙
上記のデモでは、「mssql_svc」ユーザーという単一の成果が返されます。現在、返されたオブジェクトについては、デフォルトの属性のサブセットのみが表示されますが、将来的には、オペレーターがクエリから返される特定の属性をカスタマイズできるようにしたいと考えています。
SoaPy は、IBM X-Force Red の公式 GitHub ページ(https://github.com/xforcered/SoaPy ) でオープンソースツールとして入手できます。
ADWSからログを収集してこれらのプロトコルを再作成することは困難であることが判明しました。プロトコルに関する情報を収集するために特定された唯一のロギング・メカニズムは、Windows Communication Foundation（WCF）ログ（ADWSサービス構成ファイルによって有効化される）と.NETロギングでした。開発プロセスのほとんどは、PowerShellのActive Directoryモジュールによって生成されたネットワーク・トラフィックの観察、WCFロギングの確認、およびプロトコル・スタック内の各プロトコル仕様の読み取りによって行われました。
WCFロギングは、「C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config」を変更することで有効にできます。具体的な設定方法は、マイクロソフトの公式ドキュメンテーションに詳しい。
LDAPロギングは、Active Directory環境でのLDAPインタラクションの詳細に関する追加情報を収集するために使用される検知方法です。ログから返される重要な情報には、クエリを開始した所在地、クエリを開始したコンピューター、使用されたLDAPフィルター文字列、戻り値に選択された属性、そして最後にLDAPサーバーへの認証に使用されたユーザーコンテキストなどが含まれます。
例として、次の製品の画面は、SoaPyでActive Directory列挙を実行した後のロギングが有効になったWindowsイベントビューアーです。
LDAPロギングの有効化に関する情報は、こちらをご覧ください。
図10 – ADWSによる列挙のイベント・ビューアーの視点
SoapY からの列挙を検知するときには、一般的な LDAP 自動検知方法が引き続き適用されます。クライアントはLDAPサービスと直接対話しているわけではありませんが、ADWSとのやり取りによって有用なものがすべて不明瞭になることはありません。LDAPフィルター、属性選択、認証を提供した元のユーザー・アカウントなど、悪意のあるインジケーターがADWSからLDAPサービスに渡されます。上記の製品の画面は、Kerberoastingアカウントを列挙するために使用される一般的な不審なLDAPクエリーを示しています。以前に実装されたLDAP検知は引き続きこのイベントからトリガーされますが、ADWSに対してクエリが行われたとき、ログにはローカル・ドメイン・コントローラーのソース・コンピューターが表示されます。ログには、ADWSを介した間接的なLDAPアクセスにより、「Domain Users」グループの低特権ユーザーがDCからクエリーを実行したことも表示されます。これは、DCへのアクセスに必要な権限を考えると、他のシナリオでは珍しいことです。さらに、システム・アクセス制御リスト（SACL）のカナリアは、SoaPyの使用中に特定のオブジェクトへのアクセスをロギングする際に引き続き効果的であり、不審なアクティビティーについて防御側に迅速に警告します。
SoaPy からの検知は直接的な LDAP 列挙の検知と似ていますが、インシデント対応手順の一環として列挙のソースを見つける場合は、さらに複雑になります。これは、イベントの送信元コンピューターと所在地が常にDCであるためです。列挙の潜在的なソースを見つける方法の1つは、列挙を実行するユーザーと環境内のアクティブ・セッションを関連付けることです。これは、エクスプロイテーションの機能の運用に使用されるユーザー・コンテキストが、列挙を実行するユーザー・コンテキストと同じ場合には効果的ですが、常に完全に効果的なアプローチであるとは限りません。これは、トラフィックを環境にプロキシーし、盗んだ認証情報を使用した認証を提供するために、エクスプロイテーションの機能が使用される可能性があるためです。
これらの考慮を念頭に置いて、LDAPベースの偵察の典型的なアラートは、環境内の異常な動作の存在を防御側に警告するのに効果的であり、攻撃の実行に使用されるユーザー・オブジェクトに対して、しっかりとした侵害指標（IOC）を提供することができます。ただし、アクションのソース・ホストを決定するために追加のレビューが必要になる場合があります。
当社は、きめ細かい属性収集、カスタム属性の作成、ADCS証明書列挙の追加オプションなどの新機能の追加や品質の向上を行いながら、コードベースを維持し、改善し続けていくつもりです。基礎となるライブラリとSoaPyをGitHubプル要求の形式でImpacketに統合することは引き続き私たちにとって目標です。NNSやNMFなどと対話するためのバックエンドの対話は、これらのプロトコルを利用する他のサービスとの対話を検討している将来のツール開発者にとって役立つ可能性があると感じています。その主な理由は、私たちの知識では、これらのプロトコルと対話するためのPythonコードが以前は存在していなかったからです。
Active Directory Webサービス（ADWS）は、Windows Server 2008以来、ドメイン・コントローラー上でデフォルト対応のサービスであり、LDAPと対話することができ、私たちに代わってクエリを実行し、クエリーをプロキシーすることができます。以前はLinuxホストを介したADWSとの対話が不可能であることに気づき、SoaPyを開発するきっかけとなりました。SoaPyは開発中に独自の困難を抱え、Microsoft仕様からほとんど支援を受けずにカスタム・プロトコル実装を作成する必要がありました。SoaPyには、LDAPサービスと直接対話するのではなく、LDAP列挙の検知に関する独自の考慮事項もあります。
私たちは、SoaPyがLinuxホスト上でのADWSとの対話、あるいは対話に必要な基礎となるプロトコルを利用するサービスの基盤を築くことを願っています。私たちのコードをImpacketにマージし、私たちのコードを広く普及させ、アクセスを確保すると同時に、コミュニティにさらなる開発への出発点として私たちのプロジェクトを使用してもらうことは大きな目標です。