Active Directory（AD）は、企業ネットワークのバックボーンとして広く採用されている。そのため、ADを乗っ取ることは組織全体をコントロールすることを意味する。しかし、ADを悪利用しようとする敵対者のニュースが後を絶たない。われわれの研究によると、これは防御側と攻撃側の間に大きなギャップを生じさせていることが分かった。AD環境における潜在的な攻撃ベクトルが見えないと、防御者は何を防御すべきかの手がかりを得られない。防御者が環境中の潜在的な攻撃ベクトルを認識していたとしても、効果的なリスク低減はもちろん、作業の優先順位をつけるためにリスクの重大性を理解しなければ、防御を実施することは困難な場合が多い。 上記の課題を克服するため、われわれはまず、ADにおいての知識の範囲内ですべての攻撃ベクトルを評価し、防御者に可視性を提供する。そして、その評価に基づき、攻撃ベクトルや経路のリスク定量化を行うために、Active Directoryを対象とした実用的なリスクモデルを提案する。このモデルでは、組織内のさまざまなタイプのシナリオで無理なく利用できるよう、柔軟性を考慮したリスクファクターを定義している。本講演では、リスクモデルを深く掘り下げた後、攻撃ベクトルと攻撃経路をどのようにモデルに適用し、リスクを定量化できるかを紹介する。 本講演では、聴講者は、潜在的な攻撃を早期に発見するために、攻撃ベクトルを列挙することで、すぐに行動を起こすことができる。また、攻撃経路を列挙した後、リスク定量化モデルを適用し、防御作業の優先順位付けを行うことが可能だ。また、リスクモデルに基づく戦略を共有することで、効果的かつ包括的な方法でリスク全体を低減することもできる。 登壇者 マース・チェン、デクスター・チェン

レポート

Active Directoryリスクの数値化をすることによってどのような利益をもたらすのかなどの説明をする。

Active Directoryの概要

セキュリティに課題や解説作

AD(Active Directory)はMicrosoftが開発した中央集権型のユーザとコンピュータリソースを管理するシステムであり、LDAP(Lightweight Directory Access Protocol)やKerberosやDNSも含んでいる。 ADは会社の環境では不可欠なものであり、いろいろなデバイスと繫がっているということ。 例えばSSO(Single Sign-On)やメールアクセスや内部のサイトとの認証がある。

ADのサービスは以下に示すサービスなどがある。 - DS (Domain Services) ADのサーバの役割を担っており、管理者がネットワークからのリソースやアプリケーションデータに関する情報を分散データベースに管理・保存吸えるようにするサービスであり、ログオンで認証を行い、ディレクトリリソースへのアクセスを制御するといったセキュリティの統合を行うサービス。 - FS (Federation Services) セキュリティや企業の境界を超えてデジタルIDと認証の権利を安全に共有し、IDを連携することとアクセス管理を行うサービス。 - CS (Certificate Services) 電子文書や電子メールの暗号化、電子署名に使用されるPKI(Public Key Infrastructure)を作成・管理するサービス。 - RMS (Rights Management Services) 機密文書や電子メールを保護するサービスであり、従来のfirewallやACLs(Access Controll Lists)とは異なり、暗号化と保護した状態はファイルがどこに転送されたりしても持続的に行われる。

上記の中でも今回は攻撃を最も受けているAD DSについて話していく。 以下のサイトから参照すると、ADを使っていないところは少なく、Azure ADやADを利用していることがわかる。ほとんどの企業ではAD DSが中心であり、多くの脆弱性が存在するということを攻撃者はわかっている。 https://futurecio.tech/one-identity-reveals-barriers-to-zero-trust-framework-adoption/

Lockbitと呼ばれるランサムウェアではGPO(Group Policy Object)を使用して、ランサムウェアを拡散することを行った。

ここで、なぜADは攻撃されやすいのかと、攻撃を検知、対策することが難しいのだろうか。 - Misconfiguration ADの設定は複雑であり、たくさんある。そのためデフォルトの状態であることがおおい。 設定ミスは時間をかけてチェックしなければならない。 - Techniques Implementation 攻撃されたときに実際に行わなければいけないことの選択肢が多すぎるということ。 攻撃を検知すると言っても多くのテクニックが存在し、サービスが存在するため、どれを使っていいのかが難しい。 - secure AD 安全性を確保するために対応する緩和策を見つけることができるが、100%実施することが難しい。 - Attack Pathes 脆弱性が多く存在していて、その脆弱性に対応するための重大度などを決めるのが難しい。それをどこから直していけばいいのかといった目星をつけることが難しい。

すなわち、私達は攻撃を検知することや防御する方法については知っているが、攻撃経路や攻撃ベクトルをどのように優先的に対策していくべきかを考えることが難しい。これによって時間をかけないと抑制できるようにならない。

上記の問題に対して我々はリスク数値化モデルを使用することによって優先順位をつけることができ行動することができるのではないかと考えた。

Active Directoryのリスクの数値化の詳細

• Attack Vector ADの機能を悪用した攻撃手法
• Threat Source 評価対象についてのあるアクセス権を持つ攻撃者について
• Likelihood 攻撃者が攻撃を開始し、影響を与える確率
• Impact 攻撃が成功した場合に想定される被害

Likelihood = (Thread Initiation ✕ Thread Occurrence) +- Predisposing Condition

• T.I.(Thread Initiation) 攻撃者が攻撃を開始する確率 権利を持つアカウントやドメイン内のアカウントのカバレッジ率が攻撃を開始する権利を持っており、このカバレッジ率は攻撃者が攻撃を開始できるアカウントのいずれかを制御しているかどうかの不確実性を反映する役割を果たしている。
• T.O.(Thread Occurrence) 攻撃が成功する確率 ここで攻撃の最初ができたとしてもそれが最終的な攻撃が成功するとは限らない。
• P.C.(Presposing Condition) 環境において脅威の発生に影響を与える値

Impactではどの権限が取得されたことなどのわかりやすい形で数値化する。

よってRiskはLikelihood ✕ Impactと定義する。

潜在的攻撃のリスクの数値化

実際の評価を以下に示す。

Kerberoasting攻撃

事例としてKerberoasting攻撃について話す。 ドメインアカウントにSPN(Service Principal Name)を設定すると、有効なTGT(Ticket Granting Ticket)を持つすべてのドメインユーザーがサービスチケットを要求することができ、サービスチケットの一部は、サービスアカウントのパスワードハッシュで暗号化されており、攻撃者はパスワードのブルートフォース（総当り）をすることができる。これに加え、 評価するために、デフォルトのドメイン環境設定のまま、ドメイン全体に対して、カーバオーストのリスクアセスメントを実施。 SPNを設定したドメインユーザや、パスワードの複雑さ(7文字)と更新期間(42日)はデフォルト設定、サービスチケットの暗号化アルゴリズムをRC4の有効化にした状態で始める。 先程の評価値から考えると、すべてのドメインユーザが攻撃を行うことができるため、T.I.は100%であり、危険度5のVery Highに位置し、T.O.は有効期間内内にパスワードが解読されたかどうかで判断する。ここでRC4を2080tiでハッシュレートを計算した結果64%であることがわかり、危険度は3のMiddleに位置することがわかった。 次に、P.C.については、アカウントのパスワードを変えなかったことで+5p, デフォルトではoffのDESアルゴリズムを有効化していたことで+5pとなるが、RC4暗号を無効化することで-5p, AES暗号アルゴリズムを有効化することで-2p, 組織でpasswordの安全管理をすることで弱いパスワードが存在しない状態を作ることで-1pと行った感じで計算する。

ここで先程示した計算式に乗っとって計算すると、基本的なインパクトは15でHighで、RC4が有効なため、+5pして、Domain Administratorがクラッキングされた場合は、20でVery Highになり、MSSQL Service Accountの場合は12でMiddleとなる。

例えばRC4の暗号化アルゴリズムを無効化することでAdministratorがクラッキングされたときの影響度は15でHighとなる。

ACLの乱用

ADではすべての情報はDO(Domain Object)として保存・管理されており、各DOはドメインアカウントにアクセス権を与えることができる。これによって、攻撃者はアクセス権を悪用することによって横展開することができるようになる。 ACLには２つの種類があり、Generic RightsとObject-Specific Rightsが存在する。 Generic Rightsは書き込み権限などであり、オブジェクト固有の権限を含むドメインオブジェクトを完全に制御することができる権限であり、Object-Specific Rightsはドメインオブジェクト固有のものであり、限定的な権限である。

この攻撃が有効的なのはほとんどの場合設定ミスによって起きるものである。 しかし、ドメインオブジェクトの種類によってACLの乱用方法については異なる。

• User Account
  • パスワードの強制変更
  • SPNの有効化によるKerberoasting攻撃の実施
  • as-reporoastingの事前認証の無効化
  • PKINITを用いたKerberos認証の証明書を設定する
• Computer Account
  • リソースベースの制約付きの代表設定をする
  • ローカル管理者パスワードを取得する
  • PKINITを用いたKerberos認証の証明書を設定する
• Domain Group
  • ドメイングループから付与される権限を持つメンバーを追加する
• Organizational Unit
  • Organizational Unitオブジェクトに含まれる継承フラグを指定したACLを作成する。
• Group Policy Object
  • 新規にポリシー設定を行い、アカウントに権限を与える。
• Domain Object
  • DCSync攻撃を行う。
• Certificate Template Object
  • 脆弱なテンプレートを設定して悪用できるようにする。

評価するために、デフォルトのドメイン環境設定のままで、{dexter,administrator}@corp.localという2つのアカウントと、ACLを{User-Force-Change-Password, GeneralAll}を有効にした状態で行う。 ここからAD DOは他のアカウントに特定の権限を付与しており、攻撃者はその権限が与えられたアカウントを乗っ取り、DOを制御するためにアカウントを悪用をする。

評価すると、T.I.についてはACLが付与されたアカウントのカバレッジ率に起因する。ACLがUser-Force-Change-Passwordの場合は25%以下であり、重要度は2でLowに位置され、T.O.については、一度ACLが設定されてしまった場合は、攻撃者が権限乱用することができるため、成功率は100%であるため、重大度は5のVery Highになる。すなわち、Likelihoodは10のMiddleである。 ここで攻撃の成功率に影響を与えるのは防衛機構のみであり、防衛機能があった場合P.C.は-2pとなり、アクセス権を奪われたアカウントによって影響度が異なる。

次に、ACLがGenericAllの場合は、可能性が100%であり、重要度は5でVery Highに位置され、T.O.については、一度ACLが設定されてしまった場合は、攻撃者が権限乱用することができるため、成功率は100%であるため、重大度は5のVery Highになる。すなわち、Likelihoodは25のVery Highである。 今回はDomain ObjectのGeneral User Accountが乗っ取られた場合は影響度は2のLowとなり、Riskとしては10のMiddleとなった。

次は、Domain Groupの30%のアカウントが保持しているACLがGenericAllの場合は、重要度は3でMiddleに位置され、T.O.については、一度ACLが設定されてしまった場合は、攻撃者が権限乱用することができるため、成功率は100%であるため、重大度は5のVery Highになる。すなわち、Likelihoodは15のHighである。 Domain ObjectのAdministratorが乗っ取られた場合は影響度は5のVery Highとなり、Riskとしては20のVery Highとなった。

先程の評価値から考えると、すべてのドメインユーザが攻撃を行うことができるため、T.I.は100%であり、危険度5のVery Highに位置し、T.O.は有効期間内内にパスワードが解読されたかどうかで判断する。ここでRC4を2080tiでハッシュレートを計算した結果64%であることがわかり、危険度は3のMiddleに位置することがわかった。 次に、P.C.については、アカウントのパスワードを変えなかったことで+5p, デフォルトではoffのDESアルゴリズムを有効化していたことで+5pとなるが、RC4暗号を無効化することで-5p, AES暗号アルゴリズムを有効化することで-2p, 組織でpasswordの安全管理をすることで弱いパスワードが存在しない状態を作ることで-1pと行った感じで計算する。

繊細的攻撃の道ずじのリスクの数値化

攻撃経路に対しての数値化を行いたい。 各攻撃が可能な権利を持つアカウント数を収集し、アカウントの重複を排除する。 最も大きな影響を与える攻撃や、ドメインアクセスの攻撃経路も確認する。 ここについても先程のRiskの計算と同じ式を適用できる。

攻撃経路の定量化では、経路に応じて評価していく。 以下の数を取得して判断する。 - Local Admin counts Administrator groupに所属しているアカウントの数 - Logon Session コンピュータシステムに対してリモートアクセスできるアカウントの数 - ACL Abuse Domain ObjectからACLの権限を付与されているアカウントの数 - DCSync Domain Replication権限を持っているアカウントの数

他の評価の指標として、ドメイン内で、サーバーのローカル管理者権限を持つユーザーを取得し、アクセスしているログオンセッションの数を計算する。そのログインしているユーザの中で他のユーザーに対してGenericAllの権限を持つユーザーのの数を計算し、そのユーザの中でDCSyncを実行する権限を持つユーザの数を取得するといったこと。

事例として、150のアカウントの中で35のユーザが60のコンピュータに足してLocal Administrator権限を持っている場合、T.I.の重要度は3でありMiddleとすることができ、Impactについてはサーバのコンピュータなので3であり、Middle. Logon Session Dumpされた場合は、30のコンピュータの中で40のlogon sessionあった場合はT.I.の重要度は3でMiddle.Impactについては通常のdomain userになるだけで、administratorにはならないため、重要度は2でLow. のように行っていく。

この中から先程の4つの経路で一番高いところから対策していくべきである。

緩和策

• 攻撃経路の無効化 攻撃経路を可能にする設定を削除する SPN設定の設定を見直す
• 可能性を低下させる 攻撃するために使用される特権を付与されたアカウントを減らす ネストしているグループが存在するため、不要なアカウントが入っていないか注意深くチェックする。
• 検出メカニズムの強化 特定の攻撃イベントに対しての検出を強くする。 Advanced Audit PolicyやSecure Access Controller ListをDomain Objectで使用する

感想

設定ミスでの脆弱性は、一度設定したらいいだろうと思って見直さないことがおおいと感じました。実際に自分で使っているツールなどの設定をいちいち確認するしていないということ。せめて新しい方が入ってきて設定の説明をしたりや、不具合ができたときなどに見るぐらい。ADのすべての設定をチェックするツール等があれば便利になりそうだなって思いました。(ありそう。)

2022年1月から2022年3月まで約３ヶ月間CA Tech Accelに参加してきました。
※この記事は個人的な感想や偏見が入っているため、理解して読んでいただけると幸いです。

CA Tech Accelとは

Cyber Agentが主催している育成型プログラムであり、今年度は24卒のエンジニア志望学生を対象にし、22卒のCyber Agent内定者の方々とチームを組んで成長しようといったものです。
今年度はBackend, Frontend, Game-Client, iOS, Android, MLDSといった６つの分類があり、合計11チームありました。
参加者の技術力は個人的にバラけているかなといった印象でした。

参加するにはCyber Agent内定者の方から認知してもらったり、推薦してもらう必要があると思います。 そのため、以上が達成できれば意欲があれば誰でも参加できると思います。

参加の経緯

今まで色々とセキュリティについて学んできましたが、プログラミング経験が本の写経や大学での授業だけであり、自分でプログラムを書いているといった気分ではなかったため、プログラミングが苦手でした。脆弱性診断をしている上でプログラムがどのように作られているのかや、自分での検証といったところなどで開発経験や実力が必要だとは思ってはいたのですが、なかなか手を出せずにいました。ただただ基本的な脆弱性を知っている頭でっかちなどになりたくないとも思ってました。そのため、プログラミングができるようになりたい。自分でプログラムを書いている気になりたい。といった技術力と自信を得たかった時にCA Tech Accelについて大学の先輩から教えていただいて、参加しようと思いました。

上記は今思うとこうだなって思っただけで、実際はインフラなどのミドルウェアみたいなものを作ってみたいけど、自分には実装力が足りないし、何をすればいいかわからないとか、クラウドなどのインフラ技術を触ってみたいといった曖昧な感じで「インフラエンジニア枠」で応募した気がします。

その時に実際に何に悩んでいるのかといったことが当時の私にはわかっていなかったと思います。

内容

Go

ちょうどCA Tech Accel開始と同時に並行してSecHack365をやっていたのでAPIをGoで描き始めました。
※SecHack365のことはそっちの参加記を書く予定なのでできたらそちらをみてください。
この時何もプロダクト開発をしたことがなくずっとどのようにすれば書けるかを本を買い漁ったり、QiitaやZennの記事を読み漁っていました。
最初はほとんど何かのコピペだったことを覚えています。この当時はプログラミングで公式ドキュメントを読むといった基本的で一番大事なことをやっていませんでした。全て記事や本から取ってきてエラーに苦しんでました。

APIはひと段落すると、次に私は実際にAPIを生やしたり作ったりしたいわけではないことに気づきました。
最初の自分が言っていたようにミドルウェアを作りたいのかな？と思いながらまずは、CLIなどのソフトウェア？を作ることにしました。
文字列を解析したり、それによって判断を変えたりと表面上ことをしたいのではなくいろんな処理に興味があることがわかったためGo言語の静的解析に取り組みました。コードを書いていく中でGoの標準パッケージの中身を読んだりして自分でやっとひとつ静的解析を作ることができました。この時、自分で作ったと言った自信ができたと思いました。標準パッケージを読みながらテストを書いて、実際にコードを走らせて出力を解析して作っていく。こんなプログラマーにとって当たり前のことがやっとできるようになりました。 自分が考えて作ったものをOSSがマージしてくれるととても嬉しいです。今後も多くのOSSに貢献していきたいと思いました。

ちょくちょく22卒の内定者の方々が講義を行なってくれてGoの標準パッケージについてやテストについて、ちょうどGo1.18のリリースの時期だったので1.18の新機能のこと、実際にこの関数はどこで使ったりするのかなどの実務的なことや実践的なことを教えてもらいました。他にも自分で作っているときに出た疑問点をSlackのtimesチャンネルに投下していました。

Goについてもまだまだだと思っているので色々なものを作りながらプログラミングの経験を積んだり、Goに限らず他の言語でも色々なことをしてみてプログラミング力をつけていきたいと思います。

Kubernetes

インフラについて興味を持ってはいましたが、実際には何も触ったことがなかったため、Kubernetesについては本当に何もわからない状態でした。
まず、「Kubernetes完全ガイド」を購入し、本を読んで基本的なリソースについて理解してからgithub上でKubernetesクラスタを一から作ってみるといったものが公開されていたため、それをやって基本的な構造について実際に手を動かしながら理解できました。まだ自分が使うところまでいけてはいないのでこれから何かサービス開発やサーバー設計をしたときに一緒に組み込みたいなって思ってます。

キャリア面

Cyber Agentの社員さんや22卒の内定者の方々からCyber Agentのことをたくさん教えていただきました。部署ごとの特徴や何をやっているかなどこのようなことを聞けるのはここだけだろうと思いました。色々なエンジニアの方とも喋って〇〇エンジニアはこんなことをするといった具体例などを知ることができ、視野が広がりました。
自分はセキュリティエンジニアの道しか考えていませんでしたが、この機会にプログラミングが苦手ではなくなったのでバックエンドエンジニアやSREに興味を持つようになりました。
実際に自分が作ったものを見ると嬉しいですし、何より楽しいと思うようになりました。加えてそのような開発や基盤構築をしているとセキュリティエンジニアとしても成長している気がします。
このように自分の将来のなりたいキャリア像なども浮かべることができるようになりました。
加えてインターンやそういったイベントのことも教えていただいて多くの会社のことを知ったりしてどの会社がどんなことをやっていて、何をしているか等の興味も出てきました。
これから多くのインターンに参加してその会社ごとの業務を知りながら、環境にもまれたりしながらどんどん技術力等を高めていきたいです。

おわりに

本当にこの３ヶ月ですごい成長したなって思っています。これも最初にCA Tech Accelを教えていくださった先輩と、近くて支えてくださったメンターさん、Cyber Agentについてやキャリアについて教えてくださった人事の方や関わったCyber Agentの社員さん本当にありがとうございました。この３ヶ月すごい楽しかったです。これからも色々なことに挑戦をしてみて成長していきたいと思います。この機会に知り合った方々とこれからもよろしくお願いします。
最後になりますが、ありがとうございました。またの機会があればよろしくお願いします。

気になって夜しか眠れなかったので自分の備忘録として残しておく。

Application Shimとは

Microsoft Windows Application Compatibility Infrastructure/Framework (アプリケーションシム)は、コードを書き換えることなく、古いOSのアプリケーションに修正プログラムを適用させ、新しいOSで動作することができるようにできる。そのためアプリケーションの挙動をどのように行うかをOSに伝えることができるのがShimの特徴。
※例：WindowsXP用に開発されたアプリケーションをWindows10で動作させる。
シムがない状態の場合、以下の図のようにアプリケーションがWindowsと直接やり取りをする。

シムを用いると以下の図のようにアプリケーションはWindowsとの直接やり取りをやめ、間にはいり、シムに書かれているコードによってWindowsに対してリクエストを投げたり、レスポンスを得るといった挙動をする。

これはリンクの性質を利用してWindowsからAPIコールを代替コードであるShimにリダイレクトする。以下の図のように外部バイナリファイルへの呼び出しはImport Address Tableと呼ばれるAPIエンドポイントへのアドレスが記載されているルックアップテーブルを介して行う。

シムを用いることで以下の図のようにインポートテーブルで解決されたWindows関数のアドレスを修正し、それを代替シムコード内の関数へのポインタに置き換えることができる。

Import Tableからのリダイレクトはアプリケーションのロード時に静的にリンクされた.dllファイルに対して行う。GetProcAddress APIをフックすることで、動的にリンクされた.dllファイルをシム化することも可能。 実際にプログラムが実行されると、シムキャッシュが参照され、プログラムがシムデータベースを使用するか確認される。

以上のように簡単に言えばApllicationを実行する際に、Windowsのバージョンを関係なしにすることができるということである。

Application Shimming Attack

上記に説明したApplication ShimのAPIをフックする対象を変更することでマルウェアの永続化や任意コード実行、権限昇格等ができるようになる。
しかし、バイナリを読み込む際にシムエンジンを実行して適切な修正プログラムを適用するためにシムデータベースと呼ばれるものをチェックする。 マルウェアの攻撃の一般的なアプローチは単純にsdbinst.exeを実行して悪意あるsdbファイルを指定する方法がある。

通常はシムはユーザモードで実行するように設計されており、不正なシムを任意にインストールできないように管理者権限を必要とするが、特定のシムを利用するとアカウント制御のバイパスやDLL injection、Disable NX, SEHやメモリアドレスの閲覧が可能になる。

参考文献
https://attack.mitre.org/techniques/T1546/011/
https://techcommunity.microsoft.com/t5/ask-the-performance-team/demystifying-shims-or-using-the-app-compat-toolkit-to-make-your/ba-p/374947
https://www.elastic.co/jp/blog/ten-process-injection-techniques-technical-survey-common-and-trending-process