LoginSignup
10

More than 3 years have passed since last update.

BloodHoundを使用したWindows Active Directory環境の分析

Last updated at Posted at 2020-03-04

はじめに

本稿では、「BloodHound」を使用した、Windows Active Directory環境の分析について検証します。

BloodHound (https://github.com/BloodHoundAD/BloodHound) とは、グラフ理論にもとづき、Active Directory環境の意図せぬ関係性を明らかにするためのツールです。
これにより、低特権ユーザーをDomain Adminsへ権限昇格するなど、他のユーザーやグループへ移行するためのパスを発見することができます。

BloodHoundのインストール

ここでは、Kali Linux 2020.1に対してBloodHound Version: 3.0.2のインストールを行います。

パッケージ管理コマンドaptを使ってBloodHoundのインストールを行うことが可能です。コマンド構文は、apt-get install bloodhoundです。
事前に、apt-get updateapt-get dist-upgradeコマンドを実行し、システムを最新の状態にしておく必要があります。

ali@kali:~$ sudo apt-get install bloodhound
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following additional packages will be installed:
  neo4j
The following NEW packages will be installed:
  bloodhound neo4j
0 upgraded, 2 newly installed, 0 to remove and 501 not upgraded.
Need to get 154 MB of archives.
After this operation, 350 MB of additional disk space will be used.
Do you want to continue? [Y/n] Y
Get:1 http://ftp.jaist.ac.jp/pub/Linux/kali kali-rolling/main amd64 neo4j all 3.5.3-0kali1 [98.1 MB]
Get:2 http://linux3.yz.yamagata-u.ac.jp/pub/linux/kali kali-rolling/main amd64 bloodhound amd64 3.0.2-0kali1 [55.5 MB]
Fetched 154 MB in 18s (8,640 kB/s)                                                            
Selecting previously unselected package neo4j.
(Reading database ... 255564 files and directories currently installed.)
Preparing to unpack .../neo4j_3.5.3-0kali1_all.deb ...
Unpacking neo4j (3.5.3-0kali1) ...
Selecting previously unselected package bloodhound.
Preparing to unpack .../bloodhound_3.0.2-0kali1_amd64.deb ...
Unpacking bloodhound (3.0.2-0kali1) ...
Setting up neo4j (3.5.3-0kali1) ...
Setting up bloodhound (3.0.2-0kali1) ...
Processing triggers for kali-menu (2020.1.7) ...

BloodHoundの設定

BloodHoundはNeo4j(https://neo4j.com/)に依存しています。Neo4jとは、グラフデータベース管理システムです。
apt-get install bloodhoundコマンド構文にて、BloodHound Version: 3.0.2とともに、neo4j 3.5.3がインストールされています。
aptコマンドによるインストールが完了したら、Neo4jの設定を行います。はじめに、sudo neo4j consoleコマンド構文にて、Neo4jを起動します。

kali@kali:~$ sudo neo4j console
Active database: graph.db
Directories in use:
  home:         /usr/share/neo4j
  config:       /usr/share/neo4j/conf
  logs:         /usr/share/neo4j/logs
  plugins:      /usr/share/neo4j/plugins
  import:       /usr/share/neo4j/import
  data:         /usr/share/neo4j/data
  certificates: /usr/share/neo4j/certificates
  run:          /usr/share/neo4j/run
Starting Neo4j.
WARNING: Max 1024 open files allowed, minimum of 40000 recommended. See the Neo4j manual.
2020-02-29 12:39:25.465+0000 INFO  ======== Neo4j 3.5.3 ========
2020-02-29 12:39:25.538+0000 INFO  Starting...
2020-02-29 12:39:34.831+0000 INFO  Bolt enabled on 127.0.0.1:7687.
2020-02-29 12:39:40.123+0000 INFO  Started.
2020-02-29 12:39:44.086+0000 INFO  Remote interface available at http://localhost:7474/

次に、ブラウザにて http://localhost:7474/ へアクセスします。初期設定のパスワード(neo4j / neo4j)を入力すると、パスワードの変更を求めるプロンプトが表示されます。指示に従って、新しいパスワードの入力を行います。
ここで入力したアカウントはBloodHoundにログインするためにも使用します。

スクリーンショット 2020-02-29 21.46.52.png

ここでは、次の設定値を使用します。

  • Database URL: bolt://localhost:7687
  • DB Username: neo4j
  • DB Password: blood

Bloodhoundの起動

ターミナルから、bloodhoundコマンドを実行し、起動します(バックグラウンドで開いたままにする必要があります)。

kali@kali:~$ bloodhound

スクリーンショット 2020-02-29 21.48.33.png

好みのユーザーインターフェイスに切り替えるため、メニュー右側にあるSettings(歯車のアイコン)をクリックします。
ここでは、Dark ModeのチェックボックスをONにしています。

スクリーンショット 2020-03-01 6.20.55.png

BloodHoundの動作確認

BloodHoundの動作確認をするために、ランダムなテストデータを作成するDBCreator.pyスクリプトが提供されています(https://github.com/BloodHoundAD/BloodHound-Tools/tree/master/DBCreator)。

次のコマンド構文にて、リポジトリの複製を行います。

kali@kali:~$ git clone https://github.com/BloodHoundAD/BloodHound-Tools
Cloning into 'BloodHound-Tools'...
remote: Enumerating objects: 1, done.
remote: Counting objects: 100% (1/1), done.
remote: Total 111 (delta 0), reused 0 (delta 0), pack-reused 110
Receiving objects: 100% (111/111), 1.59 MiB | 552.00 KiB/s, done.
Resolving deltas: 100% (46/46), done.

pipコマンドにて、neo4j-driverをインストールします。

$ sudo apt install python-pip
$ pip -V
pip 18.1 from /usr/lib/python2.7/dist-packages/pip (python 2.7)

$ pip install neo4j-driver
Collecting neo4j-driver
  Downloading https://files.pythonhosted.org/packages/0e/96/bc81664d87975948713f7e4d3d4c3a21a3a6a813d03a161637573a587817/neo4j-driver-1.7.6.tar.gz
Collecting neobolt~=1.7.15 (from neo4j-driver)
  Downloading https://files.pythonhosted.org/packages/0d/b2/eb7c33e1f02cd7bbaf4c237619dd8dc43fa6081f331c2d35b28deb78e259/neobolt-1.7.16.tar.gz (183kB)
    100% |████████████████████████████████| 184kB 1.2MB/s 
Collecting neotime~=1.7.1 (from neo4j-driver)
.
.
.
Successfully built neo4j-driver neobolt neotime
Installing collected packages: neobolt, pytz, neotime, neo4j-driver
Successfully installed neo4j-driver-1.7.6 neobolt-1.7.16 neotime-1.7.4 pytz-2019.3

DBCreator.pyスクリプトはpython2で記述されています。このため、明示的にpython2を指定して、実行します。

kali@kali:~$ cd BloodHound-Tools/
kali@kali:~/BloodHound-Tools$ ls
bloodhoundanalytics.pbix  bloodhoundanalytics.py  DBCreator  LICENSE  README.md
kali@kali:~/BloodHound-Tools$ cd DBCreator/
kali@kali:~/BloodHound-Tools/DBCreator$ python2 DBCreator.py
================================================================
BloodHound Sample Database Creator
================================================================

Documented commands (type help <topic>):
========================================
clear_and_generate  connect   exit      help       setnodes
cleardb             dbconfig  generate  setdomain

(Cmd)

DBCreator.pyスクリプトのユーザーインターフェイスに従って、dbconfigコマンドを実行します。neo4jの資格情報を入力します。

(Cmd) dbconfig
Current Settings:
DB Url: bolt://localhost:7687
DB Username: neo4j
DB Password: neo4jj

Enter DB URL [bolt://localhost:7687] 
Enter DB Username [neo4j] 
Enter DB Password [neo4jj] blood

New Settings:
DB Url: bolt://localhost:7687
DB Username: neo4j
DB Password: blood

Testing DB Connection
Database Connection Successful!

DBCreator.pyスクリプトのユーザーインターフェイスに従って、generateコマンドを実行します。テストデータの生成を行います。

(Cmd) generate
Starting data generation with nodes=500
Populating Standard Nodes
Adding Standard Edges
Generating Computer Nodes
Creating Domain Controllers
Generating User Nodes
Generating Group Nodes
Adding Domain Admins to Local Admins of Computers
Creating 25 Domain Admins (5% of users capped at 30)
Applying random group nesting
Adding users to groups
Calculated 7 groups per user with a variance of - 6
Adding local admin rights
Adding RDP/ExecuteDCOM/AllowedToDelegateTo
Adding sessions
Adding Domain Admin ACEs
Creating OUs
Creating GPOs
Adding outbound ACLs to 3 objects
Marking some users as Kerberoastable
Adding unconstrained delegation to a few computers
Database Generation Finished!

テストデータ作成後、Bloodhoundにログオンすると、BloodHoundは「Domain Admins」という名前のグループを描画し、そのグループに属する有効なユーザーを表示します。

左隅の[Database Info]タブでは、登録されたデータの統計情報を確認することができます。
スクリーンショット 2020-03-05 0.58.19.png
[Database Info]タブにて確認できる情報は次のとおりです。

  • Users – Active Directoryから抽出されたネットワーク上のユーザー
  • Computers – ネットワーク、サーバー、ワークステーション、その他のデバイス上のさまざまなエンドポイント
  • Groups - Active Directoryから抽出されたさまざまなADグループ
  • Sessions - Ingestorsが抽出したネットワーク上のコンピューター上のユーザーセッションの量
  • ACL – アクセス制御リスト、ユーザーとグループが相互に持つさまざまな権限とアクセス
  • Relationships - グループメンバーシップ、ユーザー、ユーザーセッション、その他の関連情報など

左隅の[Queries]タブでは、事前に用意されたいくつかの分析クエリによる表示を確認することができます。
スクリーンショット 2020-03-05 1.05.47.png

[Queries] > [Pre-Built Analytics Queries] > [Shortest Paths to High Value Targets]クエリを選択した場合の画面。
スクリーンショット 2020-03-02 23.31.25.png

Ingestors によるデータ収集

ここまで、BloodHoundとneo4jのインストールと設定が完了しました。ここからは、実際にBloodHoundを使ってターゲットネットワークのデータを分析します。

ターゲットシステムまたはドメインで「Ingestors」を使用します。Ingestorsは、ドメインコントローラーとActive Directoryを照会し、すべての信頼関係、グループポリシー設定、およびアクティブディレクトリオブジェクトの取得を行います。

BloodHound gitリポジトリ (https://github.com/BloodHoundAD/BloodHound/tree/master/Ingestors)には、2つの異なるIngestorsが公開されています。

  • SharpHound.exe:C#で記述されたプログラム
  • Invoke-BloodHound:リフレクションによってC#バイナリをロードするPowerShellスクリプト

Ingestorsを実行する際、収集範囲(CollectionMethod)オプションを詳細に設定しなければ意図する情報を収集できない可能性もあります。オプションスイッチは次のとおりです。

  • Group: グループメンバシップ情報を収集
  • LocalGroup: コンピュータのローカル管理者情報を収集
  • Session: コンピュータのセッション情報を収集
  • SessionLoop: 終了されるまでセッション情報を継続的に収集
  • Trusts: ドメインの信頼関係のデータを収集
  • ACL: ACL(Access Control List)データを収集
  • ComputerOnly: ローカル管理者とセッションデータを収集
  • GPOLocalGroup: GPO(Group Policy Object)を使ってローカル管理者情報を収集
  • LoggedOn: 管理者特権を使用し、セッション情報を収集
  • ObjectProps: ユーザとコンピュータのノードプロパティ情報を収集
  • Default: グループメンバシップ、ローカル管理者、セッション、ドメインの信頼関係のデータを収集

SharpHound

BloodHoundのIngestorsである、SharpHound.exeプログラムを使いデータ収集を行います。
ここでは、https://github.com/BloodHoundAD/BloodHound/tree/master/Ingestorsからc:\ToolsSharpHound.exeがダウンロードしてあります。

SharpHound.exeを使い、Active Directoryよりデータ収集を行います。まず、powershellを立ち上げます。その上で、SharpHound.exeを実行します。
収集したデータはZIP形式にて圧縮され(20200306061240_BloodHound.zip)、SharpHound.exeを実行したフォルダに生成されています。

PS C:\Tools> .\SharpHound.exe -c all -d active.htb --domaincontroller 10.10.10.100
----------------------------------------------
Initializing SharpHound at 6:12 AM on 3/6/2020
----------------------------------------------

Resolved Collection Methods: Group, Sessions, LoggedOn, Trusts, ACL, ObjectProps, LocalGroups, SPNTargets, Container

[+] Creating Schema map for domain ACTIVE.HTB using path CN=Schema,CN=Configuration,DC=ACTIVE,DC=HTB
[+] Cache File not Found: 0 Objects in cache

[+] Pre-populating Domain Controller SIDS
Status: 0 objects finished (+0) -- Using 19 MB RAM
Enumeration finished in 00:02:52.3983535
Compressing data to .\20200306061240_BloodHound.zip
You can upload this file directly to the UI

SharpHound Enumeration Completed at 6:16 AM on 3/6/2020! Happy Graphing!

SharpHound.ps1

BloodHoundのIngestorsである、SharpHound.ps1モジュールを使いデータ収集を行います。
ここでは、https://github.com/BloodHoundAD/BloodHound/tree/master/Ingestorsからc:\ToolsSharpHound.ps1がダウンロードしてあります。
まず、powershellを立ち上げます。SharpHound.ps1モジュールをインポートします。 インポートとは、powershellセッションでそのモジュール(SharpHound.ps1)にアクセスできるように、モジュールをアクティブメモリに読み込むプロセスです。

PS C:\Tools> Import-module ./SharpHound.ps1

次のコマンド構文にて、データ収集を行います。

PS C:\Tools> Invoke-BloodHound -CollectionMethod ACL,ObjectProps,Default -CompressData -RemoveCSV -NoSaveCache

BloodHoundにおけるデータの読み込み

収集したデータ(YYYYMMDDHHMMSS_BloodHound.zip)をBloodHoundで読み込みます。
BloodHoundのGUI画面より、右側メニューの[Upload Data]を選択し、生成されたZIPファイルを読み込みます。なお、BloodHoundのGUI画面にZIPファイルをドラッグ&ドロップすることでも、データの読み込みは可能です。
スクリーンショット 2020-03-06 22.15.15.png

BloodHoundデータを使用するユーティリティ

BloodHoundを学べるTryHackMeのRoom

TryHackMeにおいて、BloodHoundの使用方法を学ぶことのできるルームです。

BloodHoundを使った攻略が有効なHack The Box Machines

Hack The Boxにおいて、BloodHoundを使った攻略が有効とされているMachineのリストは次のとおりです。

Name IP Address Difficulty 日本語解説(Walkthrough)
Active 10.10.10.100 Easy あり
Forest 10.10.10.161 Easy あり
Reel 10.10.10.77 Hard -
Sizzle 10.10.10.103 Insane -
Blackfield 10.10.10.192 Hard -

参考情報

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
10