組合利用 AdminSDHolder和SDProp 打造隱蔽域控後門

本文中的內容描述了一種方法，通過該方法，攻擊者可以在擁有域管理員級別的許可權的5分鐘後，就可以持續對Active Directory的進行管理訪問。

我在DerbyCon（2015）上介紹了這種AD許可權持久的方法。

完整的活動目錄許可權持久技巧帖子列表

AdminSDHolder概述

AdminSDHolder是位於Active Directory中的系統分區（cn = adminsdholder，cn = system，dc = domain，dc = com）中的一個對象，通常作為某些特權組成員的對象的安全模板。枚舉這些組中的對象，並標記那些具有與AdminSDHolder ACL不匹配的安全描述符的任何對象，之後進行更新。安全描述符傳播器（SDProp）進程在PDC模擬器上每60分鐘運行一次，並使用AdminSDHolder設置的安全許可權重新標記對象訪問控制列表（ACL）。

由AdminSDHolder保護的對象的 「AdminCount」 屬性的值會設置為1，安全繼承被禁用。

請注意，當從一個受保護的組中刪除對象時，AdminCount不會設置為另一個值。這是由於Windows 2000發布時的早期反饋所致。

默認的AdminSDHolder安全ACL

AdminSDHolder對象許可權會作為域中的特權組的ACL模板。

相關的AdminSDHolder的默認ACL如下：

· 已驗證的用戶：只讀

· 系統：完全控制

· 管理員組：修改

· 域管理員組：修改

· 企業管理員組：修改

AdminSDHolder默認保護對象

SDProp受保護對象（Windows Server 2008和Windows Server 2008 R2）如下：

· Account Operators

· Administrator

· Administrators

· Backup Operators

· Domain Admins

· Domain Controllers

· Enterprise Admins

· Krbtgt

· Print Operators

· Read-only Domain Controllers

· Replicator

· Schema Admins

· Server Operators

這些組的子集可以從控制中排除，包括Account Operators, Server Operators, Print Operators, Backup Operators。

大約60分鐘後，運行PDC模擬器，該帳戶現在可以完全控制Domain Admins組。或者，手動運行SDPRop。

在Windows Server 2008 R2中，Microsoft引入了一個新的rootDSE LDAP修改操作（稱為RunProtectAdminGroupsTask）來啟動AdminSDHolder進程。

新的Windows 2008 R2基於RunProtectAdminGroupsTask的機制提供了一種更有效的機制來強制執行AdminSDHolder應用程序。在這種情況下，舊的基於FixUpInheritance的機制並沒有真正啟動AdminSDHolder進程，它啟動安全描述符傳播器更新（SDProp）進程。SDProp對關鍵安全組和帳戶的ACL具有相同的效果，但需要更長時間才能完成。SDProp是將父對象上的可繼承ACE的更改傳播到其子對象的後台AD進程。當對象的ACL被修改或移動對象時，它會自動觸發。SDProp影響所有AD子對象的ACL，而不僅僅是關鍵AD安全組和帳戶的ACL，因此將消耗更多的DC處理時間。

WindowsPTP上的SDProp參考。

手動觸發SDProp進程

FixUpInheritance（Windows 2008 R2之前）：

Windows 2008 R2基於 RunProtectAdminGroups Task機制的啟動方式：

組合利用AdminSDHolder和SDProp

將帳戶或組添加到AdminSDHolder對象許可權後，將授予完全控制權或修改許可權。在這個例子中我添加了用戶「Bobafett」。

運行SDProp之後，Bobafett將自動添加到Domain Admins組中（以及上面列出的其他組）。現在此帳戶就可以修改Domain Admins組的成員。

請注意，Bobafett的用戶帳戶沒有組成員。

儘管不是任何組的成員，該帳戶現在可以修改域管理員組的組成員。

結論

AdminSDHolder是攻擊者通過利用關鍵安全組件來持續授予在Active Directory中修改最多特權組的能力的一種隱蔽方法。即使在受保護的組或用戶上更改了許可權，SDProp也可以更改安全許可權，使其與AdminSDHolder對象的許可權相匹配。

檢測方法

監視AdminSDHolder對象上配置的ACL。這些應該保持默認 - 通常不需要向AdminSDHolder ACL添加其他組。

使用AdminCount = 1監視用戶和組，以標識出由SDProp設置的ACL的帳戶。

使用PowerShell AD cmdlet查找由SDProp設置的安全ACL的所有用戶：

Import-Module ActiveDirectory

Get-ADObject -LDAPFilter 「(&(admincount=1)(|(objectcategory=person)(objectcategory=group)))」 -Properties MemberOf,Created,Modified,AdminCount

參考文獻：

· 關於AdminSdHolder和SDProp的五個常見問題

· AdminSDHolder，受保護組和SDPROP

· 手動運行SDProp

本文翻譯自

https://adsecurity.org/?p=1906

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！