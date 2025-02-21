بمرور الوقت، أصبح كل من التعداد المستهدف والتعداد واسع النطاق لبيئات Active Directory (AD) أكثر قابلية للاكتشاف بشكل متزايد بسبب الحلول الدفاعية الحديثة. خلال تدريبنا في X-Force Red الصيف الماضي، لاحظنا أن SOAPHound الخاص بـ FalconForce أصبح شائعًا في تعداد بيئات Active Directory. قدّمت هذه الأداة منظورًا جديدًا لعملية تعداد Active Directory من خلال تنفيذ عملية الجمع عبر خدمات ويب Active Directory (ADWS) بدلًا من الاعتماد المباشر على بروتوكول LDAP كما كانت تفعل أدوات التعداد السابقة. لقد كنا مهتمين بتوسيع نطاق استخدامات هذه التقنية، ما أدى في النهاية إلى تبسيط التفاعل مع ADWS من مضيفي Linux من خلال تطوير مكتبة محمولة مكتوبة بلغة Python وأداة مخصصة لاستخدام هذه المكتبة أطلقنا عليها اسم SoaPy.
يتم تمكين ADWS افتراضيًا على وحدات تحكم نطاق Active Directory (DCs) على المنفذ 9389، ويُستخدم بواسطة مجموعة من أدوات إدارة أنظمة Microsoft، مثل Active Directory Administrative Center (ADAC) ووحدة Active Directory داخل PowerShell. يتواصل العملاء مع ADWS باستخدام رسائل SOAP (بروتوكول الوصول البسيط إلى الكائنات) بتنسيق XML. يتم تحليل هذه الرسائل بواسطة خدمة الويب، والتي تتفاعل بعد ذلك مع خدمة LDAP المحلية على وحدة التحكم بالمجال. يتيح ذلك التفاعل المعتاد مع Active Directory (بما في ذلك القراءة والكتابة على الكائنات) باستخدام الأذونات المخصصة للمستخدم الذي يُجري الاستعلام، دون الحاجة إلى الاتصال المباشر بخدمة LDAP نفسها. علاوةً على ذلك، بما أن الاتصالات يتم تمريرها من خدمة ADWS المحلية إلى LDAP، فإن أي تفاعل يتم باستخدام هذه الآلية يظهر في سجلات أحداث Windows على أنه وحدة تحكم النطاق المحلية تتصل بنفسها.
الشكل 1 - تفاعل العميل مع LDAP من خلال ADWS
يحتوي ADWS على مجموعة من البروتوكولات التي يتم عرضها عبر نقطة النهاية لخدمة الويب. كل نقطة نهاية لها معرِّف موارد موحَّد (URI) يتميز بتعريف فريد، ويسبقه نوع الربط "net.tcp" . يتم دعم آليتين للمصادقة للتفاعل. بما في ذلك المصادقة من نوع Windows Integrated لاستخدام بروتوكول NNS الأصلي في Windows (.NET NegotiateStream Protocol)، بالإضافة إلى آلية اسم المستخدم/كلمة المرور المستخدمة للمصادقة عبر TLS. النقاط النهائية المختلفة توفِّر وظائف مختلفة من ADWS. على سبيل المثال، يمكن استخدام نقطة النهاية "التعداد" للاستعلام وقراءة بيانات LDAP، ويمكن استخدام نقطة النهاية "الموارد" لكتابة بيانات LDAP. يتم عرض القائمة الكاملة لنقطة نهاية خدمة الويب أدناه.
الشكل 2 - نقاط النهاية المتاحة للتفاعل مع ADWS
قبل إنشاء مكتبتنا، كان التفاعل مع ADWS ممكنًا فقط باستخدام أدوات من Microsoft مثل RSAT (Remote Server Administration Tools) وأدوات مبنية على .NET، ما كان يقتصر فعليًا على استخدام البروتوكول من مضيفات Windows فقط. إمكانية التفاعل مع هذه الخدمة من خلال مضيف Linux قد تمنح متخصصي الأمن خيارات إضافية للتفاعل مع Active Directory.
وقد حفزتنا هذه الفجوة على إنشاء SoaPy، وهي أداة للتفاعل مع LDAP عبر ADWS من مضيف Linux. لقد واجه إنشاء هذه الأداة مجموعة متنوعة من التحديات التي كان لا بد من التغلب عليها، حيث لم يتم بعد تنفيذ البروتوكولات الأساسية المستخدمة للتفاعل مع ADWS في Python. وأدّى النقص النسبي في الوثائق حول هذه البروتوكولات إلى تعقيد الأمور، ما دفعنا إلى إجراء هندسة عكسية لها من خلال تحليل الكود المصدر وفحص حزم البيانات.
بعض التقنيات التي قمنا بتنفيذها بلغة Python للتواصل الناجح عبر ADWS تشمل NNS (.NET NegotiateStream Protocol)، وNMF (.NET Message Framing Protocol)، وNBFSE (.NET Binary Format: SOAP Extension). يبلغ إجمالي هذه التنفيذات مع باقي أدواتنا حوالي 5,000 سطر برمجي. بسبب عدد طبقات البروتوكول المعقدة نسبيًا المطلوبة للتفاعل مع LDAP عبر ADWS، استغرق الأمر عدة أشهر من العمل قبل أن نتمكن حتى من إجراء استعلام بسيط عبر ADWS.
الشكل 3 - مجموعة بروتوكولات للتفاعل مع ADWS
كانت أول طبقة بروتوكول اضطر فريقنا لتطويرها للتفاعل مع ADWS هي NMF، ويمكن العثور على مواصفات هذا البروتوكول هنا. يحدِّد هذا البروتوكول كيفية صياغة الرسائل واستخدامها بشكل أساسي لتأطير رسائل SOAP. يتضمن NMF المصافحة الأولية المستخدمة لإنشاء الجلسة، حيث تكون الرسالة الأولى المرسلة من العميل هي رسالة NMF التمهيدية. تتضمن هذه الرسالة وضع التشغيل (دائمًا وضع duplex في حالة ADWS)، وسجل via الذي يتيح لنا تحديد نقطة النهاية الخاصة بـ ADWS على الخادم للتفاعل معها، وأخيرًا صيغة الترميز المستخدمة لنقل البيانات. يعرض الشكل 4 مثالًا برمجيًا يوضِّح بنية هذه الرسائل. ووفق فهمنا، فإن صيغة الترميز الوحيدة المدعومة هي NBFSE، والتي سيتم التطرق إليها لاحقًا. كما هو موضَّح أدناه، تتم دائمًا تهيئة صيغة سجلات via بإضافة “net.tcp://” في البداية، يليها اسم المضيف للخادم المستهدف، ثم منفذ خدمة ADWS وأخيرًا نقطة النهاية المحددة على الويب. عند طلب البيانات من LDAP، نريد استخدام نقطة النهاية "التعداد".
الشكل 4 - هيكل NMF Preamble
بعد رسالة NMF Preamble، يرسل العميل رسالة NMF Upgrade Request (0x9)، ويطلب إذن ترقية الجلسة باستخدام مصادقة NNS وبدء مصافحة NNS. إذا وافق الخادم على هذا الطلب، يرد برسالة NMF Upgrade Response (0xA).
تعمل NNS على توفير إطار لبيانات GSS-API (Generic Security Service Application Program Interface) وتستخدم SPNEGO (Simple and Protected GSS-API Negotiation) للتفاوض حول استخدام بروتوكولات المصادقة NTLM أو Kerberos. بالإضافة إلى ذلك، توفِّر NNS إطارًا للمصادقة عبر NTLM أو Kerberos. يمكن العثور على مواصفات NNS هنا. يركِّز المثال التالي على المصادقة باستخدام NTLM عبر NNS.
يرسل العميل بعد ذلك تأكيدًا لتكامل الاتصال (NNS) لبدء عملية المصادقة. تتضمن بشكل محدد حمولة مصادقة تحتوي على رموز المصادقة، والتي نقوم بتوليدها باستخدام مكتبة SPNEGO من Impacket.
الشكل 5 - بنية مصافحة NNS
بعد ذلك، يرسل الخادم رسالة NNS NTLMSSP_Challenge، والتي تحتوي على تحدٍ يُستخدم لبناء NTLMSSP_AUTH كرد تحدي يتم إرساله مرة أخرى إلى الخادم للمصادقة. بعد المصادقة الناجحة، يرسل الخادم رسالة مصافحة نهائية من نوع NNS (0x15) تُشير إلى حالة المصادقة. من الجدير بالذكر أننا اكتشفنا سريعًا أن ADWS غير معرّض لهجمات NTLM relay، نظرًا لأن توقيع الرسائل مطلوب على جانب الخادم.
بعد أن تتم ترقية الاتصال NMF بنجاح إلى NNS ويقوم العميل بالمصادقة على الخادم، يرسل العميل رسالة NMF Preamble End (0xC) لإبلاغ الخادم بأن المقدمة قد اكتملت. يرد الخادم برسالة NMF Preamble Acknowledgement (0xB)، مع الإقرار بأن المقدمة قد انتهت وأنه يمكن للعميل الآن إرسال البيانات.
كما ذكرنا سابقًا، يجب تنظيم البيانات المرسلة إلى الخادم بتنسيق NBFSE، كما هو محدد في المواصفات هنا. يُستخدم NBFSE لتشفير بيانات SOAP أو تسلسلها لإرسالها عبر NMF. تُعَد NBFSE امتداد لـ NBFS (.NET Binary Format: SOAP Data Structure)، والذي يُعَد بدوره امتدادًا لـ NBFX (.NET Binary Format: XML Data Structure)، ما استلزم منا تنفيذ جميع مواصفات تنسيق XML الثلاثة. يتطلب NBFSE استخدام قاموس مدمج في القناة لعمليات تقليل البيانات، لكننا وجدنا أنه يمكن تجاوز هذا الشرط عبر إرسال رسائل تحتوي على قاموس مدمج فارغ.
بعد تنفيذ NBFSE، تحوَّل تركيزنا إلى فهم كيفية تفاعل العميل مع ADWS بعد إتمام عملية المصادقة. في البداية، كنا نريد الاستعلام عبر LDAP، لذا كانت أول رسالة بيانات قمنا بتنفيذها هي رسالة تعداد ADWS. تتضمن هذه الرسالة استعلام LDAP الذي يجب أن يستخدمه الخادم للاستعلام من خدمة LDAP المحلية، بالإضافة إلى قائمة بسمات LDAP التي ينبغي إرجاعها لكل كائن. بالإضافة إلى ذلك، تحدد كل رسالة تعداد إجراء "التعداد" ونقطة نهاية "التعداد". لاحظ أن كل رسالة من هذه النقطة هي رسالة بيانات SOAP كاملة؛ على سبيل المثال، تظهر رسالة التعداد أدناه:
الشكل 6 - رسالة تعداد ADWS
عند استلام رسالة التعداد، يرد الخادم برسالة تحتوي على سلسلة جلسة تُعرَف باسم Enumeration Context على شكل UUID (معرِّف فريد عالمي). يمكننا بعد ذلك استخدام سياق التعداد هذا في رسالة Pull، لسحب نتائج LDAP من الخادم. تُعرض أدناه رسالة Pull التي تتضمن إجراء مناسبًا بعنوان "Pull" وتعريف Enumeration Context.
الشكل 7 - رسالة ADWS Pull
بعد إرسال هذه الرسالة إلى الخادم، سيرد الأخير بمعلومات LDAP بصيغة SOAP، والتي يمكن للعميل المستلم تحليلها لاحقًا.
يظهر تفاعل الرسائل الكامل بين العميل والخادم أدناه.
الشكل 8 - التفاعل بين العميل والخادم في ADWS
SoaPy هي أداة Python طوَّرناها، وتستخدم مكتبات البروتوكولات الأساسية هذه لتنفيذ عمليات استطلاع وتعديل LDAP على مثيلات ADWS البعيدة. وتتضمن مجموعة من الاستعلامات الجاهزة المستخدمة في مهام الاستطلاع الشائعة لـ Active Directory مثل تعداد الحسابات التي لديها السمة servicePrincipalName، وتحديد الحسابات المهيأة للتفويض المقيّد أو غير المقيّد. كما توفِّر SoaPy خيارًا لبناء استعلامات مخصّصة يحددها المشغِّل، بالإضافة إلى إمكانية الكتابة إلى السمة msDs-AllowedToActOnBehalfOfOtherIdentity على كائنات LDAP لاستغلال التفويض المقيّد المستند إلى الموارد (RBCD).
معظم أساليب الاستخدام الشائعة في أمثلة سكربتات Impacket تنتقل كما هي إلى SoaPy، إذ كان هدفنا الأساسي من هذا المشروع هو تطوير أداة يمكنها الاندماج بفاعلية مع حزمة Impacket. استخدام حزمة Impacket سهَّل التعامل مع بروتوكولات المصادقة الموثقة جيدًا في Active Directory مثل NTLM وKerberos، لكن وبما أن مشروع Impacket الحالي لا يدعم بروتوكولات مثل NNS وNMF وغيرها، قمنا بتوسيع المشروع بإضافة هذه البروتوكولات ضمن SoaPy.
يمكن استخدام SoaPy للحصول على حسابات المستخدمين التي تم تعيين قيمة servicePrincipalName لها، وذلك عبر تمرير الخيار –spns.
الشكل 9 - تعداد حسابات الخدمات باستخدام SoaPy
في العرض التوضيحي أعلاه، يتم إرجاع نتيجة واحدة فقط - المستخدم "mssql_svc". حالياً، يتم عرض مجموعة فرعية افتراضية فقط من السمات للكائنات التي تم إرجاعها، ولكن في المستقبل، نود أن نسمح للمشغِّل بتخصيص سمات محددة ليتم إرجاعها بواسطة الاستعلام.
تتوفر SoaPy كأداة مفتوحة المصدر على صفحة IBM X-Force Red GitHub الرسمية، على الرابط التالي: https://github.com/xforcered/SoaPy.
تبيَّن أن جمع السجلات من ADWS لإعادة إنشاء هذه البروتوكولات كان صعبًا، إذ إن آليات التسجيل الوحيدة التي تم تحديدها لجمع معلومات عن البروتوكول كانت تسجيلات Windows Communication Foundation (WCF) (المفعّلة عبر ملف إعداد خدمة ADWS) وتسجيلات .NET. تم إنجاز معظم عملية التطوير من خلال مراقبة حركة الشبكة الناتجة عن وحدة Active Directory في PowerShell، ومراجعة سجلات WCF، وقراءة كل مواصفات البروتوكولات في تكديس البروتوكول.
يمكن تفعيل تسجيلات WCF عن طريق تعديل الملف "C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe.config". تفاصيل التكوين مفصلة في وثائق Microsoft الرسمية.
يُعَد تسجيل LDAP وسيلة لاكتشاف التعداد تُستخدم لجمع معلومات إضافية حول تفاصيل التفاعلات مع LDAP في بيئات Active Directory. تتضمن بعض المعلومات المهمة المسترجعة من السجلات عنوان العميل الذي بدأ الاستعلام، والكمبيوتر الذي نشأ منه الاستعلام، وسلسلة عامل تصفية LDAP المستخدمة، والسمات المختارة للإرجاع، وأخيرًا سياق المستخدم المستخدم للمصادقة على خادم LDAP.
كمثال، تُظهر لقطة الشاشة التالية Windows Event Viewer بعد تفعيل تسجيل LDAP وإجراء تعداد Active Directory باستخدام SoaPy.
يمكن العثور على معلومات حول تمكين تسجيل LDAP هنا.
الشكل 10 - لقطة شاشة لعرض Event Viewer لعملية التعداد عبر ADWS
تظل طرق اكتشاف الاستطلاع الشائعة لـ LDAP سارية عند رصد التعداد باستخدام SoaPy. على الرغم من أن العميل لا يتفاعل مباشرةً مع خدمة LDAP، فإن التفاعل من ADWS لا يخفي كل المعلومات المفيدة. لا تزال المؤشرات الخبيثة تُرسَل إلى خدمة LDAP من ADWS، بما في ذلك فلتر LDAP، والسمات المختارة، وحساب المستخدم الأصلي الذي قدَّم المصادقة. تعرض الصورة أعلاه استعلام LDAP مريبًا شائع الاستخدام في تعداد الحسابات القابلة لهجوم Kerberoasting. ستظل الاكتشافات السابقة لـ LDAP تُفعّل من خلال هذا الحدث، على الرغم من أنه بما أن الاستعلام تم عبر ADWS، فسيُظهر السجل جهاز كمبيوتر المصدر كخادم نطاق محلي. سيُظهر السجل أيضًا أن مستخدمًا ذا امتيازات منخفضة في مجموعة Domain Users قد أجرى استعلامًا من DC نتيجة الوصول غير المباشر إلى LDAP عبر ADWS، وهو أمر غير معتاد في أي سيناريو آخر بالنظر إلى الأذونات المطلوبة للوصول إلى DC. بالإضافة إلى ذلك، لا تزال قوائم التحكم في الوصول إلى النظام (SACL) فعَّالة في تسجيل الوصول إلى كائنات محددة أثناء استخدام SoaPy، ما ينبِّه المدافعين بسرعة إلى النشاط المشبوه.
في حين أن اكتشاف التعداد من SoaPy يشبه اكتشاف تعداد LDAP المباشر، إلا إن تعقيدًا إضافيًا ينشأ عند العثور على مصدر التعداد كجزء من إجراءات الاستجابة للحوادث. ويرجع ذلك إلى أن الكمبيوتر الأصلي وعنوان IP في الحدث دائما هو DC. تتمثل إحدى طرق العثور على المصدر المحتمل للتعداد في ربط المستخدم الذي يقوم بالتعداد بالجلسات النشطة في البيئة. على الرغم من أن هذا قد يكون فعَّالًا إذا كان سياق المستخدم المستخدم لتشغيل إمكانية ما بعد الاستغلال هو نفسه سياق المستخدم الذي يقوم بالتعداد، إلا إن هذا قد لا يكون دائمًا نهجًا فعَّالًا تمامًا. ويرجع ذلك إلى إمكانية استخدام القدرة بعد الاستغلال لتوجيه حركة المرور إلى البيئة وتوفير المصادقة باستخدام بيانات الاعتماد المسروقة.
مع أخذ هذه الاعتبارات في الحسبان، يجب أن تظل التنبيهات النموذجية للاستطلاع القائم على LDAP فعَّالة في تنبيه المدافعين إلى وجود سلوك شاذ في البيئة ويمكن أن توفِّر مؤشرًا قويًا للاختراق (IOC) لكائن المستخدِم المستخدَم لإجراء الاستعلام. ومع ذلك، قد تتطلب هذه الإجراءات مراجعة إضافية لتحديد المضيف المصدر للإجراء.
نعتزم الحفاظ على قاعدة الكود الخاصة بنا ومواصلة تحسينها، مع إضافة ميزات جديدة وتحسينات لتسهيل الاستخدام، بما في ذلك خيارات إضافية لجمع السمات بدقة، وكتابة السمات المخصصة، واستعراض شهادات ADCS. لا يزال دمج مكتباتنا الأساسية وSoaPy في Impacket في شكل طلب Pull على GitHub هدفًا لنا. نعتقد أن تفاعلنا مع الخلفية للتعامل مع NNS وNMF وغيرها قد يكون مفيدًا لمطوري الأدوات المستقبلية الراغبين في التفاعل مع أي خدمات أخرى تستخدم هذه البروتوكولات، خاصةً لأنه، حسب علمنا، لم يكن هناك كود Python للتعامل مع هذه البروتوكولات سابقًا.
كانت خدمة Active Directory Web Services، أو ADWS، مفعّلة بشكل افتراضي على وحدات تحكم المجال منذ Windows Server 2008، وتُتيح لنا التفاعل مع LDAP، وإجراء الاستفسارات نيابةً عنا، وتمرير استفساراتنا. لاحظنا أن التفاعل مع ADWS لم يكن ممكنًا سابقًا من خلال مضيف Linux، ما دفعنا إلى إنشاء SoaPy. لقد واجهت SoPy صعوباتها الخاصة أثناء التطوير، ما تطلب منّا إنشاء تطبيقات بروتوكول مخصصة بمساعدة قليلة من مواصفات Microsoft. كما أن SoaPy لها اعتبارات كشف خاصة بها، كونها طريقة أكثر خفاءً بكثير لتنفيذ استعراض LDAP بدلًا من التفاعل المباشر مع خدمة LDAP.
نأمل أن تمهِّد SoaPy الطريق للتفاعل مع ADWS عبر نظام Linux، أو أي خدمة تستخدم البروتوكولات الأساسية المطلوبة للتفاعل. يُعَد دمج الكود داخل Impacket هدفًا رئيسيًا، لضمان انتشاره وإتاحته على نطاق واسع، ودفع المجتمع لاعتماد مشروعنا كنقطة انطلاق لمزيد من التطوير.