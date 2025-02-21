Con el tiempo, tanto la enumeración dirigida como a gran escala de entornos de Active Directory (AD) se han detectado cada vez más debido a las soluciones defensivas modernas. Durante nuestra pasantía en X-Force Red el verano pasado, notamos que SOAPHound de FalconForce se estaba volviendo popular para enumerar entornos de Active Directory. Esta herramienta aportó una nueva perspectiva a la enumeración de Active Directory al realizar la recopilación a través de Active Directory Web Services (ADWS) en lugar de directamente a través de Lightweight Directory Access Protocol (LDAP) como lo hacían otras herramientas de enumeración de AD en el pasado. Nos interesaba ampliar los casos de uso de esta técnica, lo que finalmente nos llevó a simplificar la interacción con ADWS desde hosts Linux mediante el desarrollo de una biblioteca portátil escrita en Python y una herramienta personalizada para utilizar dicha biblioteca, a la que llamamos SoaPy.
ADWS está habilitado de forma predeterminada en los controladores de dominio (DC) de Active Directory en el puerto 9389 y lo utilizan diversas herramientas de administración de sistemas de Microsoft, como Active Directory Administrative Center (ADAC) y el módulo Active Directory dentro de PowerShell. Los clientes se comunican con ADWS mediante mensajes SOAP (Simple Object Access Protocol) en formato XML. Estos mensajes son analizados por el servicio web, que luego interactúa con el servicio LDAP local en el controlador de dominio. Esto permite la interacción típica de AD (incluida la lectura y escritura en objetos) utilizando los permisos de AD asignados al usuario que realiza la consulta sin necesidad de un enlace directo al propio servicio LDAP. Además, a medida que las conexiones se pasan del servicio ADWS local a LDAP, cualquier interacción realizada mediante este mecanismo se muestra como el controlador de dominio local que se conecta a sí mismo dentro de los registros de eventos de Windows.
Figura 1: interacción del cliente con LDAP a través de ADWS
ADWS alberga una colección de protocolos que se exponen a través de endpoints de servicios web. Cada endpoint tiene un identificador uniforme de recursos (URI) de identificación única y está precedido por un tipo de enlace "net.tcp". Se admiten dos mecanismos de autenticación para la interacción. Incluyendo la autenticación "Windows Integrated" para usar un protocolo nativo de Windows llamado NNS (.NET NegotiateStream Protocol), así como el mecanismo "Nombre de usuario/Contraseña" utilizado para la autenticación a través de Transport Layer Security (TLS). Los diferentes endpoints proporcionan una funcionalidad diferente a la de ADWS. Por ejemplo, el endpoint "Enumeración" se puede usar para consultar y leer datos LDAP, y el endpoint "Recurso" se puede usar para escribir datos LDAP. La lista completa de endpoints de servicio web se muestra a continuación.
Figura 2: Endpoints disponibles para la interacción con ADWS
Antes de la creación de nuestra biblioteca, la interacción con ADWS solo podía realizarse utilizando herramientas creadas por Microsoft, como RSAT (Remote Server Administration Tools)), y herramientas creadas con .NET, que esencialmente limitaban el uso del protocolo a los hosts de Windows. Tener la capacidad de interactuar con este servicio desde un host Linux podría brindar a los profesionales de seguridad opciones adicionales para la interacción con Active Directory.
Esta brecha nos motivó a crear SoaPy, una herramienta para interactuar con LDAP sobre ADWS desde un host Linux. La creación de esta herramienta planteó una variedad de desafíos que superar, ya que los protocolos subyacentes utilizados para interactuar con ADWS aún no se habían implementado en Python. La falta de documentación sobre estos protocolos complicó aún más las cosas y nos llevó a realizar ingeniería inversa tanto a través del análisis de código fuente como del examen de las capturas de paquetes.
Algunas de las tecnologías que terminamos implementando en Python para comunicarnos con éxito a través de ADWS incluyen NNS (.NET NegotiateStream Protocol), NMF (.NET Message Framing Protocol) y NBFSE (.NET Binary Format: SOAP Extension). Estas implementaciones con el resto de nuestra herramienta suman alrededor de 5000 líneas de código. Debido a la cantidad de capas de protocolo relativamente oscuras necesarias para interactuar con LDAP sobre ADWS, se necesitaron varios meses de trabajo antes de poder realizar una consulta simple sobre ADWS.
Figura 3: Pila de protocolos para interactuar con ADWS
La primera capa de protocolo que nuestro equipo tuvo que diseñarse para interactuar con ADWS fue NMF; la especificación de este protocolo se puede encontrar aquí. Este protocolo define cómo se deben enmarcar los mensajes y se utiliza principalmente para enmarcar mensajes SOAP. NMF incluye un protocolo de enlace inicial que se utiliza para establecer la sesión, y el primer mensaje enviado desde el cliente es el mensaje de preámbulo de NMF. Este mensaje incluye el modo de operación (siempre el modo dúplex en el caso de ADWS), un registro de vía, que nos permite establecer el endpoint web de ADWS designado en el servidor para interactuar y, finalmente, el formato de codificación que se utilizará para la transferencia de datos. En la Figura 4 se muestra un ejemplo de código que muestra la estructura de estos mensajes. A nuestro entender, el único formato de codificación compatible es NBFSE, que se abordará más adelante. Como se ve a continuación, el formato de registros de vía siempre va precedido de “net.tcp://”, seguido del nombre de host del servidor deseado, el puerto para el servicio ADWS y, finalmente, el endpoint web especificado. Al solicitar datos de LDAP, queremos utilizar el endpoint "Enumeración".
Figura 4: Estructura del preámbulo de NMF
Después del mensaje de preámbulo de NMF, el cliente envía un mensaje de solicitud de actualización de NMF (0x9), solicitando permiso para actualizar la sesión mediante la autenticación de NNS e iniciar el protocolo de enlace de NNS. Si el servidor permite esta solicitud, responde con un mensaje de respuesta de actualización de NMF (0xA).
NNS funciona para proporcionar marcos para los datos Generic Security Service Application Program Interface (GSS-API) y utiliza Simple and Protected GSS-API Negotiation (SPNEGO) para negociar si se utilizan los protocolos de autenticación NTLM o Kerberos. Además, NNS también proporciona marcos para la autenticación a través de NTLM o Kerberos. La especificación de NNS se puede encontrar aquí. El siguiente ejemplo se centra en la autenticación mediante NTLM sobre NNS.
A continuación, el cliente envía un handshake NNS para iniciar el proceso de autenticación. Incluye específicamente una carga útil de autenticación que contiene tokens de autenticación, que generamos utilizando la biblioteca SPNEGO de Impacket.
Figura 5: Estructura del handshake de NNS
Luego, el servidor devuelve un mensaje NNS NTLMSSP_Challenge, que contiene un desafío que se utiliza para crear NTLMSSP_AUTH como un desafío-respuesta para enviar al servidor para su autenticación. Después de autenticarse correctamente, el servidor devuelve un mensaje final de protocolo de enlace NNS (0x15) que indica el estado de la autenticación. Algo destacable es que aprendimos rápidamente que ADWS no era vulnerable a ataques de relé NTLM debido a que la firma de mensajes era obligatoria en el servidor.
Una vez que la conexión NMF se ha actualizado correctamente a NNS y el cliente se ha autenticado en el servidor, el cliente envía el mensaje de fin de preámbulo de NMF (0xC), indicando al servidor que el preámbulo se ha completado. El servidor responde con un mensaje de reconocimiento de preámbulo de NMF (0xB), reconociendo que el preámbulo ha finalizado y que el cliente ahora puede enviar datos.
Como se mencionó anteriormente, los datos enviados al servidor deben estructurarse en el formato NBFSE, según lo define la especificación aquí. NBFSE se utiliza para codificar o serializar datos SOAP que se enviarán a través de NMF. NBFSE es una extensión de NBFS (formato binario .NET: estructura de datos SOAP), que a su vez es una extensión de NBFX (formato binario .NET: estructura de datos XML), lo que nos obliga a implementar las tres especificaciones de formato XML. NBFSE requiere el uso de un diccionario en banda para los procedimientos de reducción de datos, pero descubrimos que este requisito se puede omitir enviando mensajes con un diccionario en banda en blanco.
Después de implementar NBFSE, nuestro enfoque cambió a comprender cómo interactúa un cliente con ADWS después de completar el proceso de autenticación. Originalmente, queríamos consultar LDAP, por lo que el primer mensaje de datos que implementamos fue el mensaje de enumeración de ADWS. Este mensaje incluye la consulta LDAP que debe utilizar el servidor para consultar el servicio LDAP local, así como una lista de atributos LDAP que deben devolverse para cada objeto. Además, cada mensaje de enumeración define la acción "Enumeración" y el endpoint "Enumeración". Tenga en cuenta que cada mensaje a partir de este momento es un mensaje de datos SOAP completo; por ejemplo, a continuación se muestra un mensaje de enumeración:
Figura 6: Mensaje de enumeración de ADWS
Al recibir el mensaje de enumeración, el servidor responde con un mensaje que contiene una cadena de sesión, denominada contexto de enumeración en forma de identificador único universal (UUID). A continuación, podemos utilizar este contexto de enumeración en un mensaje Pull para extraer los resultados LDAP del servidor. A continuación, se muestra el mensaje de extracción que contiene una acción adecuada de "Extracción" y una definición de contexto de enumeración.
Figura 7: Mensaje de extracción de ADWS
Después de que este mensaje se haya enviado al servidor, el servidor responderá con información LDAP en formato SOAP, que luego puede ser analizada por el cliente receptor.
A continuación, se muestra la interacción completa de mensajes entre el cliente y el servidor.
Figura 8: Interacción cliente-servidor de ADWS
SoaPy es una herramienta de Python que hemos creado y que utiliza estas bibliotecas de protocolos subyacentes para realizar acciones de reconocimiento y modificación de LDAP en instancias remotas de ADWS. Incluye una colección de consultas predefinidas utilizadas para acciones comunes de reconocimiento de AD, como enumerar cuentas con el conjunto de atributos "servicePrincipalName" e identificar cuentas configuradas para delegación restringida y sin restricciones. SoaPy también incluye un indicador para consultas personalizadas a elección del operador, así como la opción de escribir en el atributo "msDs-AllowedToActOnBehalfOfOtherIdentity" en objetos LDAP para explotar la delegación restringida basada en recursos (RBCD).
La mayoría de las convenciones comunes de uso de scripts de ejemplo de impacket se trasladan a SoaPy, ya que nuestro objetivo original para este proyecto era crear una herramienta que pudiera superponerse eficazmente con la suite Impacket. El uso de la suite Impacket facilitó la interacción con protocolos de autenticación de Active Directory bien documentados, como NTLM y Kerberos, pero como el proyecto Impacket actual no era compatible con NNS, NMF, etc., ampliamos el proyecto con los protocolos adicionales que implementamos en SoaPy.
Por ejemplo, SoaPy se puede utilizar para recuperar cuentas de usuario con el atributo "servicePrincipalName" establecido pasando el indicador "–spns":
Figura 9: Enumeración de cuentas de servicio mediante SoaPy
En la demostración anterior, se devuelve un único resultado: el usuario “mssql_svc”. Actualmente, solo se muestra un subconjunto predeterminado de atributos para los objetos devueltos, pero en el futuro nos gustaría permitir al operador personalizar los atributos específicos que devolverá la consulta.
SoaPy está disponible como herramienta de código abierto en la página oficial de IBM X-Force Red GitHub, en https://github.com/xforcered/SoaPy.
Recopilar registros de ADWS para recrear estos protocolos resultó ser difícil, ya que los únicos mecanismos de registro identificados para recopilar información sobre el protocolo fueron el registro de Windows Communication Foundation (WCF) (habilitado a través del archivo de configuración del servicio ADWS) y el registro de .NET. La mayor parte del proceso de desarrollo se realizó mediante la observación del tráfico de red generado por el módulo de Active Directory de PowerShell, la revisión del registro de WCF y la lectura de cada especificación de protocolo en la pila de protocolos.
El registro de WCF se puede habilitar modificando "C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config". Los detalles específicos de la configuración se detallan en la documentación oficial de Microsoft.
El registro LDAP es un método de detección de enumeración que se utiliza para recopilar información adicional sobre los detalles de las interacciones LDAP en entornos de Active Directory. Parte de la información importante devuelta por el registro incluye la dirección del cliente que inició la consulta, la computadora desde la que se origina la consulta, la cadena de filtro LDAP utilizada, los atributos seleccionados para la devolución y, finalmente, el contexto de usuario utilizado para la autenticación en el servidor LDAP.
Como ejemplo, la siguiente captura de pantalla es del Windows Event Viewer con el registro LDAP habilitado después de realizar la enumeración de Active Directory con SoaPy.
Aquí puede encontrar información sobre cómo habilitar el registro LDAP.
Figura 10: Perspectiva de Event Viewer de la enumeración a través de ADWS
Los métodos comunes de detección de reconocimiento LDAP aún se aplican al detectar la enumeración de SoaPy. Aunque el cliente no interactúa directamente con el servicio LDAP, la interacción de ADWS no oculta todo lo útil. Los indicadores maliciosos aún se pasan al servicio LDAP desde ADWS, incluido el filtro LDAP, la selección de atributos y la cuenta de usuario de origen que proporcionó la autenticación. La captura de pantalla anterior muestra una consulta LDAP sospechosa común utilizada para enumerar cuentas Kerberoastable. Las detecciones LDAP implementadas anteriormente seguirán activándose a partir de este evento, aunque como la consulta se realizó contra ADWS, el registro mostrará una computadora de origen de un controlador de dominio local. El registro también mostrará un usuario con privilegios bajos en el grupo "Usuarios del dominio" que realizó una consulta desde el DC debido al acceso LDAP indirecto a través de ADWS, lo cual es inusual en cualquier otro escenario dados los permisos necesarios para acceder al DC. Además, los valores controlados de System Access Control List (SACL) siguen siendo eficaces para el registro de acceso a objetos específicos mientras se utiliza SoaPy, alertando rápidamente a los defensores sobre actividades sospechosas.
Si bien la detección de la enumeración de SoaPy es similar a la detección de la enumeración LDAP directa, surge una complejidad adicional al encontrar la fuente de la enumeración como parte de los procedimientos de respuesta a incidentes. Esto se debe a que la computadora de origen y la dirección IP en el evento siempre son el DC. Una forma de encontrar la fuente potencial de enumeración sería correlacionar al usuario que realiza la enumeración con las sesiones activas en el entorno. Si bien esto puede ser efectivo si el contexto de usuario que se utiliza para operar la capacidad posterior a la explotación es el mismo que el contexto de usuario que realiza la enumeración, este no siempre es un enfoque completamente efectivo. Esto se debe a la posibilidad de que la capacidad posterior a la explotación se utilice para hacer proxy del tráfico en el entorno y proporcionar autenticación mediante credenciales robadas.
Teniendo en cuenta estas consideraciones, las alertas típicas para el reconocimiento basado en LDAP deberían seguir siendo eficaces para alertar a los defensores sobre la presencia de un comportamiento anómalo en el entorno y pueden proporcionar un indicador de compromiso (IOC) sólido para el objeto de usuario utilizado para realizar el consulta. Sin embargo, pueden requerir una revisión adicional para determinar el host de origen de la acción.
Tenemos la intención de mantener nuestra base de código y continuar mejorándola mientras agregamos nuevas característica y mejoras en la calidad de vida, incluidas opciones adicionales para la recopilación de atributos detallados, la escritura de atributos personalizados y la enumeración de certificados ADCS. Integrar nuestras bibliotecas subyacentes y SoaPy en Impacket en forma de una solicitud de extracción de GitHub sigue siendo un objetivo para nosotros. Creemos que nuestra interacción de backend para interactuar con NNS, NMF, etc. podría ser útil para futuros desarrolladores de herramientas que buscan interactuar con cualquier otro servicio que utilice estos protocolos, principalmente porque, hasta donde sabemos, el código Python para interactuar con estos protocolos no existía anteriormente.
Active Directory Web Services, o ADWS, ha sido un servicio habilitado de forma predeterminada en los controladores de dominio desde Windows Server 2008, y nos permite interactuar con LDAP, realizar consultas en nuestro nombre y enviar nuestras consultas por proxy. Notamos que antes no era posible interactuar con ADWS a través de un host Linux, lo que nos motivó a crear SoaPy. SoaPy tuvo sus propias dificultades durante el desarrollo, lo que nos obligó a crear implementaciones de protocolos personalizados con poca ayuda de las especificaciones de Microsoft. SoaPy también tiene sus propias consideraciones de detección, ya que es un método significativamente más sigiloso de enumeración LDAP en lugar de interactuar directamente con el servicio LDAP.
Esperamos que SoaPy siente las bases para interactuar con ADWS a través de un host Linux o cualquier servicio que utilice los protocolos subyacentes necesarios para la interacción. Un objetivo importante es fusionar nuestro código con Impacket, lo que ayuda a garantizar que nuestro código esté generalizado y sea accesible, al tiempo que se impulsa a la comunidad a utilizar nuestro proyecto como punto de partida para un mayor desarrollo.