サイバーニュース.jp

世界のサイバーなニュースを配信

ProfileHound:レッドチームの目標達成を支援する「ポストエスカレーション」ツール

カテゴリ:

ProfileHoundとは:Active Directory環境の新たな脅威

ProfileHoundは、Active Directory環境内で価値の高い標的を特定することを目指す攻撃的セキュリティプロフェッショナル向けの特殊な「ポストエクスプロイト」ツールとして登場しました。このツールは、侵害されたマシンに保存されているドメインユーザープロファイルを列挙することで、レッドチームの偵察における重要なギャップを埋めます。これにより、攻撃者はどのシステムが重点的なエクスプロイトに値するかについて、データに基づいた意思決定を行うことができます。

革新的な「HasUserProfile」エッジ

ProfileHoundの根本的な革新性は、新しいBloodHoundグラフエッジである「HasUserProfile」の作成にあります。これは、ドメインユーザーとそのプロファイルディレクトリをホストするマシンとの間の関係を確立します。BloodHoundの従来の「HasSession」エッジが現在ログインしているユーザーのみを識別するのに対し、ProfileHoundはユーザーが現在ログインしていない場合でもシステムに存在する休眠状態のユーザープロファイルを明らかにします。この違いは、攻撃者がキャッシュされた認証情報、DPAPIで暗号化されたシークレット、SSHキー、またはクラウド認証情報を含む可能性のあるマシンを特定する必要があるポストエクスプロイトフェーズで非常に貴重であることが証明されています。

動作原理とデータ収集

このツールの運用には、標的マシンのC$管理共有に対する管理者アクセスが必要です。ProfileHoundはここからUsersディレクトリ構造を列挙します。そして、NTUSER.DATファイルからユーザーのセキュリティ識別子(SID)、プロファイルの作成タイムスタンプ、最終変更日などの重要なメタデータを抽出します。この時間データは、プロファイルの経過年数と使用パターンに関する実用的なインテリジェンスをオペレーターに提供し、現在も維持されているアカウントと、長年にわたって蓄積されたシークレットが含まれている可能性のあるレガシープロファイルを区別します。

BloodHoundとのシームレスな統合

GitHubによると、ProfileHoundはOpenGraph形式を介してBloodHound Community Editionとシームレスに統合され、収集されたデータをドラッグアンドドロップでプラットフォームに直接インポートできます。このツールは、最も多くのユーザープロファイルを持つマシン、プロファイル分布に基づいて最も価値の高いユーザー、そしてエクスプロイト可能なデータを含む可能性が最も高い最も古いプロファイルを特定する詳細な統計サマリーを同時に生成します。

主要機能の概要

  • HasUserProfileエッジの作成:ドメインマシン上のユーザープロファイルをマッピングする新しいグラフエッジを作成します。
  • BloodHound統合:BloodHound OpenGraph形式と互換性があり、直接インポートが可能です。
  • 管理者アクセス:ターゲットのC$共有を列挙するために管理者権限が必要です。
  • タイムスタンプ分析:プロファイルの作成日と変更日を追跡し、アクティビティを評価します。
  • DPAPI統合:DPAPIディレクトリ構造からユーザーSIDを抽出します。
  • 高度なクエリ:アクティブなプロファイルとグループをターゲットにするためのCypherクエリが事前構築されています。
  • 複数のデプロイメントオプション:pipx、ソースインストール、Dockerコンテナをサポートします。
  • ターゲット選択:自動LDAPディスカバリまたは手動によるターゲット指定が可能です。
  • プロファイル統計:詳細な分布レポートとマシンハブレポートを生成します。
  • SID抽出:NTUSER.DATメタデータからセキュリティ識別子を取得します。

今後の展望と開発ロードマップ

現在、ProfileHoundは開発の初期段階にあり、追加の収集モードの実装が保留されているため、実運用での展開には注意が必要です。プロジェクトは、Remi Gascou氏のShareHoundおよびbhopengraphライブラリの基礎的な機能に感謝しており、ロードマップの強化には、SCCMHunter統合、Azure ADデバイス所有権の相関付け、および機密性の高い履歴データのためのNTUSER.DATファイルマイニングが含まれます。

レッドチームにとっての価値

特定のマシンからのみアクセス可能なクラウド隣接SaaSアプリケーションをターゲットとするレッドチーム、または数年前のプロファイルアーティファクトを保有するマシンを優先したいレッドチームにとって、ProfileHoundはポストエクスプロイトワークフローへの強力な追加となります。

元記事: https://gbhackers.com/profilehound-post-escalation-tool/

投稿をさらに読み込む