NetExecは、WindowsおよびActive Directory(AD)環境に特化したマルチプロトコルネットワーク実行ツールキットです。単一のバイナリコマンドnxcを提供し、SMB、SSH、LDAP、WMI、WinRM、RDP、VNC、MSSQL、NFSなど複数のトランスポートプロトコルをサポートします。本プロジェクトは、オペレーターがホストや認証情報の列挙、ネットワーク全体でのコマンド実行、プロトコル固有モジュールの統合による認証情報収集やリモートコマンド実行など、日常的なレッドチーム業務を行えるよう設計されています。
このプロジェクトは、2015年にCrackMapExec、Active Directoryポストエクスプロイトツールとして開始されました。
特徴
NetExecはプロトコル指向のワークフローを提供し、オペレーターがターゲット環境に適したトランスポートを選択できます。主な機能には、設定可能なスレッドによる同時実行、SMB/LDAP/WinRM/RDP用のプロトコルモジュール、認証情報管理、グラフツールやログへのデータエクスポート用統合フックなどがあります。本プロジェクトには、列挙、コマンド実行、データ流出ワークフローのためのドキュメント化されたモジュールが含まれており、ポストエクスプロイトの横展開に対応しています。
インストール
推奨されるインストール方法は、pipxを使ってパッケージを分離環境にインストールすることです。これにより、システム全体のPythonを保護しつつ、グローバルに利用可能なnxcコマンドが得られます。GitHubのREADMEに標準的なインストールコマンドが記載されています。例:
|
python3–mpip install—user pipx python3–mpipx ensurepath pipx install git+https://github.com/Pennyw0rth/NetExec.git |
これらの手順はプロジェクトリポジトリに記載されており、推奨されるクイックインストール方法です。インストール後、nxc --helpを実行して検証してください。
使い方と検証済み–help出力
NetExecはグローバルヘルプおよびプロトコルごとのヘルプを提供します。nxc --helpで一般的なオプションや利用可能なプロトコルを一覧表示できます。以下は公式NetExecドキュメントに掲載されているヘルプ抜粋です:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
#~ nxc –help usage:nxc[-h] [-t THREADS] [–timeout TIMEOUT] [–jitter INTERVAL] [–no-progress] [–verbose] [–debug] [–version] {smb,ssh,ldap,ftp,wmi,winrm,rdp,vnc,mssql,nfs} … <—Banner—> options: –h,—help show thishelp message andexit –tTHREADS set how many concurrent threads touse(default:100) —timeout TIMEOUT max timeout inseconds of eachthread(default:None) —jitter INTERVAL setsarandom delay between eachconnection(default:None) —no–progress Notdisplaying progress bar during scan —verbose enable verbose output —debug enable debug level information —version Display nxc version protocols: availableprotocols {smb,ssh,ldap,ftp,wmi,winrm,rdp,vnc,mssql,nfs} smb own stuff using SMB ssh own stuff using SSH ldap own stuff using LDAP ftp own stuff using FTP wmi own stuff using WMI winrm own stuff using WINRM rdp own stuff using RDP vnc own stuff using VNC mssql own stuff using MSSQL nfs own stuff using NFS |
プロトコルごとのヘルプはnxc <protocol> --helpで利用でき、プロトコル固有のフラグやオプションが表示されます。プロトコルごとの例や推奨される運用セキュリティ設定については、プロジェクトのドキュメントページを参照してください。
実践的な攻撃シナリオ
コンテキスト:あなたは権限の低いドメインユーザーの認証情報を持っており、セグメント化されたAD環境で横展開の可能性を検証したいと考えています。
シナリオ(現実的な単一チェーン):NetExecのLDAPモジュールを使ってドメインユーザーやグループを列挙し、委任権限を持つサービスアカウントを特定します。その後、WinRMまたはSMBモジュールを使い、委任や脆弱なサービス設定が存在するホストでコマンド実行を試みます。実践的な手順例:
nxc ldap --domain-domain.example --user alice --pass 'password'を実行し、ユーザーやグループメンバーシップを収集します。- LDAP出力から、サービスアカウントがローカル管理者権限を持つホストを特定します。
- 発見したサービスアカウントの認証情報を使い、
nxc winrmまたはnxc smbでペイロードやスケジュールタスクを実行し、権限昇格や永続化をテストします。
これらの手順は標準的なレッドチームの横展開ワークフローを反映しており、NetExecが検知カバレッジやエスカレーション経路の検証にどのように使えるかを示しています。オペレーターは、本番環境でテストを実施する前に必ず書面による許可を取得してください(明示的に許可されている場合を除く)。
レッドチームでの有用性とトレードオフ
NetExecは、プロトコルモジュールを単一のスクリプト可能なCLIに統合し、高い同時実行性で迅速な評価をサポートするため、レッドチームにとって有用です。アドバーサリーエミュレーションやパープルチームの検証において、1台のホストから複数の攻撃経路を効率的に試すことができます。トレードオフとしては、運用セキュリティや検知可能性が挙げられます。アグレッシブなスレッディングやデフォルトペイロードはエンドポイント検知や侵入防止システムをトリガーするため、-t、--timeout、--jitterをターゲット環境に合わせて調整してください。無制限スキャンを実行すると、ログやアラートが大量に発生する可能性があります。
防御側の検知・ハンティングガイダンス
防御側は、マルチプロトコルかつ高速なマルチホスト活動を横展開の高精度な指標として扱うべきです。収集・監視すべき主なテレメトリは以下の通りです:
- 非管理用マシンから発生する異常に高頻度なSMBまたはWinRMアクティビティ
- 単一アカウントによる複数プロトコルへの同時認証試行
- リモート実行試行後のスケジュールタスクや新規サービスエントリの作成
エンドポイントおよびネットワークログを計測し、プロトコル横断の活動を相関させてください。SOCプレイブックに検知を統合し、即時封じ込めを実施しましょう。グラフ型AD分析の背景については、関係性コンテキスト構築のために従来のADマッピングツールも検討してください。
インストール時の注意点と参考情報
NetExecのインストールやテスト時は分離環境を利用してください。公式GitHub READMEにはインストール手順や、より詳細なプロトコルガイダンスが記載されたプロジェクトWikiへのリンクがあります。nxc –helpで利用方法を確認し、プロトコルごとのヘルプページで認証情報利用、Kerberos、証明書ベースフローなどのオプションを参照してください。
類似ツールとして、PsMapExec – PowerShellを用いた横展開コマンドマッピングなどもあります。
まとめ
NetExecは複数のプロトコルベクトルを1つの運用ツールキットにまとめ、Windows/AD環境向けに最適化されています。横展開の検証を行うレッドチーム、制御されたシミュレーションを実施するパープルチーム、検知調整を行う防御側のいずれにも有用です。常に書面によるスコープのもとで実行し、成果を公開する際は出力をサニタイズしてください。
NetExecの詳細やダウンロードはこちら:https://github.com/Pennyw0rth/NetExec
読者とのやりとり
