[Cheat Sheet] Интересные атрибуты LDAP

Атрибуты LDAP, модификация которых используется для атак на домен.

Чем мониторить

Event ID 1644 - разведка, LDAP-запросы Event ID 5136 - изменение атрибутов объектов службы каталогов

Что мониторить

LDAP-атрибут	Чем интересен
ms-Mcs-AdmPwd	Кража пароля локального администратора через LAPS Атакующий получает доступ к атрибуту ms-Mcs-AdmPwd, который содержит пароль локального администратора, управляемого через LAPS (Local Administrator Password Solution). Это позволяет атакующему получить доступ к компьютеру с правами локального администратора.
SID-History	Злоупотребление SID-History Атакующий добавляет SID привилегированной группы (например, "Domain Admins") в атрибут SID-History своей учётной записи. Это позволяет ему получить права этой группы, даже не будучи её членом.
logonScript	Подмена скрипта входа в систему Атакующий задает путь к скрипту входа в систему, код которого будет выполняться при входе пользователя в систему. Это позволяет атакующему получить доступ к учётной записи пользователя и выполнить команды от его имени.
mstsInitialProgram	Подмена начальной программы в RDP-сессии Атакующий изменяет атрибут mstsInitialProgram, который определяет программу, запускаемую при подключении через RDP (Remote Desktop Protocol). Это позволяет коду атакующего выполниться при входе пользователя в систему через RDP.
msDS-KeyCredentialLink	Key Credential Abuse (Shadow Credentials) Инструмент: Whisker Атакующий добавляет свои ключи в атрибут msDS-KeyCredentialLink объекта компьютера. Это позволяет ему аутентифицироваться как этот объект, даже не зная пароля. Используется для повышения привилегий.
msDS-AllowedToDelegateTo	Злоупотребление делегированием (Constrained Delegation) Атакующий использует атрибут msDS-AllowedToDelegateTo, чтобы настроить делегирование на целевую службу (например, SQL Server). Это позволяет ему представлять пользователей и получать доступ к службе от их имени, даже без их пароля.
msDS-AllowedToActOnBehalfOfOtherIdentity	Resource-Based Constrained Delegation (RBCD) Атакующий изменяет атрибут msDS-AllowedToActOnBehalfOfOtherIdentity на целевом компьютере, чтобы разрешить другому компьютеру или учётной записи действовать от его имени. Это позволяет атакующему получить доступ к ресурсам целевого компьютера с повышенными привилегиями.
ms-DS-MachineAccountQuota	Создание компьютерных учётных записей для повышения привилегий Атакующий использует атрибут ms-DS-MachineAccountQuota, который определяет, сколько компьютерных учётных записей может создать обычный пользователь. По умолчанию это значение равно 10. Атакующий создаёт компьютерную учётную запись, чтобы затем использовать её для атак, таких как Resource-Based Constrained Delegation (RBCD).
pKICertificateTemplate	Злоупотребление шаблонами сертификатов (AD CS Exploits) Атакующий использует атрибут pKICertificateTemplate, чтобы найти или создать уязвимые шаблоны сертификатов в Active Directory Certificate Services (AD CS). Если шаблон позволяет выдавать сертификаты без должной проверки, атакующий может запросить сертификат для повышения привилегий или получения доступа к ресурсам.
dNSHostName	CVE-2022-26923 (Active Directory Elevation of Privilege) Атакующий изменяет атрибут dNSHostName компьютерной учётной записи, чтобы подделать DNS-имя и выдать себя за другой компьютер (контроллер домена). Это позволяет ему запросить сертификат от имени этого компьютера и использовать его для повышения привилегий в домене.
ntSecurityDescriptor	Злоупотребление AdminSDHolder для сохранения привилегий Атрибут ntSecurityDescriptor содержит ACL (Access Control List) объекта, который определяет права доступа. Объект AdminSDHolder используется для защиты привилегированных групп (например, "Domain Admins"). Каждые 60 минут система сбрасывает ACL этих групп на основе ACL объекта AdminSDHolder. Атакующий может изменить ACL AdminSDHolder, чтобы сохранить свои привилегии или предоставить себе доступ к защищённым группам.
userAccountControl	Злоупотребление флагами userAccountControl Атрибут userAccountControl содержит флаги, которые определяют свойства учётной записи, такие как "отключена ли учётная запись", "требуется ли смена пароля" или "является ли учётная запись доверенной для делегирования". Атакующий может изменить эти флаги, чтобы обойти защитные механизмы или повысить свои привилегии.
userPrincipalName	Подмена UPN для выпуска сертификата на другое имя (CVE-2022-26923) Атрибут userPrincipalName (UPN) используется для уникальной идентификации пользователя в домене (например, user@domain.com). Атакующий может изменить UPN компьютерной учётной записи, чтобы выдать себя за другой объект (например, контроллер домена), и запросить сертификат от его имени. Это позволяет атакующему получить сертификат, который можно использовать для повышения привилегий в домене.