ProfileHoundは、Active Directory環境内で高価値ターゲットを特定したい攻撃的セキュリティの専門家向けに登場した、特化型のポストエクスプロイト(侵害後)ツールです。
本ツールは、侵害済みマシンに保存されているドメインユーザープロファイルを列挙することで、レッドチームの偵察における重要なギャップを埋め、どのシステムを重点的にエクスプロイトすべきかをデータに基づいて判断できるようにします。
ProfileHoundの根本的な革新は、新しいBloodHoundのグラフエッジ HasUserProfile を作成し、ドメインユーザーと、そのプロファイルディレクトリをホストするマシンとの関係を確立する点にあります。
BloodHoundの従来の HasSession エッジが、現在ログイン中のユーザーのみを特定するのに対し、ProfileHoundは、ユーザーが現在ログインしていなくてもシステム上に残り続ける休眠状態のユーザープロファイルを明らかにします。
この違いは、攻撃者がキャッシュされた認証情報、DPAPIで暗号化されたシークレット、SSHキー、またはクラウド認証関連の素材を含む可能性が高いマシンを特定する必要がある侵害後フェーズにおいて、非常に有用です。
本ツールの動作メカニズムは、ターゲットマシンのC$管理共有への管理者アクセスを必要とし、ProfileHoundはそこからUsersディレクトリ構造を列挙します。
NTUSER.DATファイルから、ユーザーのセキュリティ識別子(SID)、プロファイル作成タイムスタンプ、最終更新日などの重要なメタデータを抽出します。
この時系列データにより、オペレーターはプロファイルの経過年数や利用パターンに関する実用的なインテリジェンスを得られ、現在も維持されているアカウントと、長年にわたり蓄積されたシークレットを含む可能性があるレガシープロファイルとを区別できます。
GitHubによると、ProfileHoundはOpenGraph形式を介してBloodHound Community Editionとシームレスに統合され、収集データをドラッグ&ドロップでプラットフォームへ直接インポートできます。
同時に、最もプロファイルが集中しているマシン、プロファイル分布に基づく最も価値の高いユーザー、そして悪用可能なデータを含む可能性が最も高い最古のプロファイルを特定する、詳細な統計サマリーも生成します。
主な機能と能力
| 機能 | 説明 |
|---|---|
| HasUserProfileエッジ | ドメインマシン上のユーザープロファイルをマッピングする新しいグラフエッジを作成 |
| BloodHound統合 | BloodHound OpenGraph形式に対応し、直接インポート可能 |
| 管理者アクセス | ターゲット上のC$共有を列挙するために管理者資格情報が必要 |
| タイムスタンプ分析 | 活動評価のためにプロファイル作成日と更新日を追跡 |
| DPAPI統合 | DPAPIディレクトリ構造からユーザーSIDを抽出 |
| 高度なクエリ | アクティブなプロファイルやグループを狙うための事前構築済みCypherクエリ |
| 複数のデプロイ | pipx、ソースインストール、Dockerコンテナをサポート |
| ターゲット選定 | LDAPによる自動検出、または手動でのターゲット指定 |
| プロファイル統計 | 詳細な分布レポートおよびマシンハブレポートを生成 |
| SID抽出 | NTUSER.DATメタデータからセキュリティ識別子を取得 |
現在は開発初期段階にあるため、追加の収集モードが実装されるまでは、本番環境への導入には慎重さが求められます。
本プロジェクトは、基盤機能としてRemi GascouのShareHoundおよびbhopengraphライブラリにクレジットを付しており、ロードマップ上の強化項目には、SCCMHunter統合、Azure ADデバイス所有者の相関付け、そして機微な過去データのためのNTUSER.DATファイルマイニングが含まれます。
特定のマシンからのみアクセス可能なクラウド隣接のSaaSアプリケーションを狙うレッドチーム、または複数年にわたるプロファイルアーティファクトを保持するマシンを優先したい場合、ProfileHoundは侵害後ワークフローに強力な追加要素となります。
翻訳元: https://gbhackers.com/profilehound-post-escalation-tool/
