GroupPolicyBackdoor は、グループ ポリシー オブジェクト(GPO)の操作および悪用のためのPythonユーティリティです。GPOの攻撃ベクターは、Active Directory環境において非常に大きな影響を与える権限昇格シナリオにつながることがよくあります。それにもかかわらず、攻撃的セキュリティの専門家は、GPO操作に伴うリスクがあると認識されていることも一因となり、それらを活用することに消極的な場合があります。
GroupPolicyBackdoorは、GPO攻撃ベクター向けに、モジュール式で安定しており、かつステルス性の高い悪用フレームワークを、すべてPythonで提供することを目的としています。本ツールは DEFCON 33 で発表されました。
主な機能
以下はGroupPolicyBackdoorの主な機能の概要です:
ldap3およびsmbprotocolを使用したPython実装(impacket不使用)- GPOの作成、削除、バックアップ、インジェクション
- さまざまな注入可能な構成(それぞれにカスタマイズ可能なオプションあり。一覧はwiki参照)
- 組み合わせ可能なフィルター (ホスト名、セキュリティグループ、WMIクエリ—wiki参照)により、注入した構成を特定のオブジェクトにのみ適用することが可能
- 対象GPOから注入した構成を削除することが可能
- クライアントデバイス上で実行された操作を元に戻すことが可能
- GPOリンクの操作
- GPOの列挙/GPOに対するユーザー権限の列挙
対象のグループ ポリシー オブジェクトに注入される構成はモジュールと呼ばれます。現在サポートされているモジュールの一覧は以下のとおりです:
- スケジュールされたタスク (スケジュールされたタスクの追加/削除、または即時タスクの実行)。
- グループ (ローカルグループへのユーザーの追加/削除)。
- レジストリ (レジストリキーの値を設定)。
- ファイル (ファイルの作成/削除)。
- フォルダー (フォルダーの作成/削除)。
インストール&使用方法
ソース: meterpreter.org
