セキュリティ研究者らは、Active Directory環境においてドメイン接続されたマシン全体に保存されているユーザープロファイルを特定することで、レッドチーム運用を強化することを目的とした革新的なポストエクスプロイトツール「ProfileHound」を公開しました。
ProfileHoundはオープンソースの偵察ツールで、BloodHoundと統合して「HasUserProfile」と呼ばれる新しいリレーションシップエッジを作成します。
アクティブなログインしか検出できない従来のセッション監視とは異なり、ProfileHoundは休眠中のユーザープロファイルを見つけ出します。これらには、キャッシュされた認証情報、DPAPIデータ、SSHキー、クラウドアクセストークンなどの価値ある秘密情報が含まれている可能性があります。
このツールは、対象マシン上のC$共有に対する管理者アクセスを必要とし、ユーザープロファイルディレクトリを列挙して、NTUSER.DATファイルからセキュリティ識別子(SID)を抽出します。
本ツールは、現代のペネトレーションテストにおける重要なギャップ、すなわちSaaSアプリケーションやクラウドサービスの価値ある認証情報がアクティブメモリではなくユーザープロファイル内に保存されるという点に対処します。
ProfileHoundは、 \\<target>\C$\Users\ のディレクトリ構造にアクセスし、NTUSER.DATファイルのメタデータを分析して、ドメインアカウントとローカルアカウントを区別することでプロファイルを列挙します。
検出された各プロファイルエッジには作成および更新のタイムスタンプが含まれ、運用者は頻繁に使用されるプロファイルと、長期間休眠していて長年の利用で秘密情報が蓄積している可能性のあるアカウントを識別できます。
ProfileHoundはBloodHoundのOpenGraph形式でデータをエクスポートし、BloodHound Community Editionへドラッグ&ドロップでインポートすることでシームレスに統合できます。
このツールは、SIDの照合により既存ノードと自動的に相関付けられるプロファイル関係を含むJSONファイルを生成します。
その後、レッドチーム担当者はカスタムCypherクエリを実行して、ドメイン管理者に関連する最近アクティブなプロファイルや、複数の特権ユーザーアカウントを持つマシンなどの高価値ターゲットを特定できます。
このツールはpipxでインストールするか、依存関係の競合を避けるためにDockerコンテナとしてデプロイできます。ProfileHoundは、対象ネットワーク全体のC$共有にアクセスするため、管理者権限を持つドメイン資格情報を必要とします。
特定のターゲットが指定されない場合、ツールはLDAPを自動的にクエリしてドメイン内の全マシンを列挙するため、数百のエンドポイントを持つ大規模なActive Directory環境に適しています。
このツールは、最も接続数の多いユーザー、プロファイル数が最も多いマシン、そしてレガシーな認証情報を含む可能性が高い最古のプロファイルに関する統計サマリーを提供します。
今後の開発計画には、データ収集を強化するためのSCCMHunterとの統合や、ブラウザ履歴および最近のドキュメントアクセスパターンを得るためにNTUSER.DATファイルをマイニングすることが含まれます。
翻訳元: https://cyberpress.org/profilehound-released-as-a-post-escalation-tool-for-red-team-operations/