AD CS Account Persistence

这是来自https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf出色研究中机器持久性章节的简要总结

使用证书理解活动用户凭据窃取 - PERSIST1

在一个场景中，用户可以请求一个允许域认证的证书，攻击者有机会请求和窃取这个证书以在网络上保持持久性。默认情况下，Active Directory 中的 User 模板允许这样的请求，尽管有时可能会被禁用。

使用名为 Certify 的工具，可以搜索有效的证书，从而实现持久访问：

Certify.exe find /clientauth

强调证书的力量在于其能够作为所属用户进行身份验证，而不受任何密码更改的影响，只要证书保持有效。

可以通过图形界面使用certmgr.msc或通过命令行使用certreq.exe来请求证书。使用Certify，请求证书的过程简化如下：

Certify.exe request /ca:CA-SERVER\CA-NAME /template:TEMPLATE-NAME

成功请求后，将生成一个带有私钥的证书，格式为.pem。要将其转换为可在Windows系统上使用的.pfx文件，使用以下命令：

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

.pfx 文件随后可以上传到目标系统，并与名为 Rubeus 的工具一起使用，以请求用户的票据授予票据 (TGT)，从而延长攻击者的访问权限，直到证书失效（通常为一年）:

Rubeus.exe asktgt /user:harmj0y /certificate:C:\Temp\cert.pfx /password:CertPass!

使用证书获得机器持久性 - PERSIST2

另一种方法涉及为受损系统的机器账户注册证书，利用默认的Machine模板允许此类操作。如果攻击者在系统上获得了提升的特权，他们可以使用SYSTEM账户请求证书，提供一种持久性的形式：

这种访问权限使攻击者能够作为机器帐户进行Kerberos身份验证，并利用S4U2Self获取主机上任何服务的Kerberos服务票据，有效地授予攻击者对机器的持久访问。

通过证书更新延长持久性 - PERSIST3

讨论的最后一种方法涉及利用证书模板的有效性和更新周期。通过在证书到期之前对证书进行更新，攻击者可以在不需要额外票据注册的情况下保持对Active Directory的身份验证，这可能会在证书颁发机构（CA）服务器上留下痕迹。

这种方法允许一种延长的持久性方法，通过与CA服务器的互动减少，避免生成可能提醒管理员入侵的工件。