Adversary Simulation

1. Demo Video

2. 사용된 툴 목록

3. Golden SAML

   1. 정상 동작 원리

   2. Golden SAML 공격 원리

---

Demo Video 📹

---

사용된 툴 목록 🧰

• parrotsec/mimikatz.exe (https://github.com/ParrotSec/mimikatz)

• fortra/Impacket.py (https://github.com/fortra/impacket)

• mandiant/ADFSdump.exe (https://github.com/mandiant/ADFSDump)

• mandiant/ADFSpoof.py (https://github.com/mandiant/ADFSpoof)

• portswigger/Burpsuite Community Edition (https://portswigger.net/burp/communitydownload)

---

Golden SAML

Backgrounds: Golden SAML

AD FS(Active Directory Federation Service)는 IdP(Identity Provider)로서 도메인 내에서 신뢰받는 SP(Service Provider), 예를 들어, AWS, M365, Github 등에게 도메인 사용자의 Identities를 안전하게 제공하는 역할을 한다.

흔히 알고있는 SSO(Single Sign-On)을 조직 내에서 도메인 단위로 중앙집중하여 관리할 수 있게 해주는 개념으로 이해하면 된다.

정상 동작 원리

1. [Client] AD FS sts(portal)에 접속하여 접근할 수 있는 서비스 목록을 확인, AWS 선택

   
2. [Client → AD FS] AD 사용자 ID/PW 입력하여 AD FS에 인증 요청

   
3. [AD FS → AD DS] AD 사용자 인증 정보 확인 요청 (Redirect)

   
4. [AD DS → AD FS] AD 사용자 검증됨(Kerberos)

   
5. [AD FS] AWS SAML 양식에 내용을 채워 서명하여 Response

   
6. [Client → AWS] AD FS로 받은 SAML을 AWS로 전달

   

   /saml -> 밑에 SAMLResponse=파라미터 존재함
7. [AWS] AWS는 이 SAML을 검증한뒤 SAML에 지정된 Role, IAM에 따라 사용자의 접근을 허락

   

Golden SAML 공격 원리

1. [AD DS] dkm 탈취 / [AD FS] tks 탈취

2. [Attacker] dkm으로 tks 복호화 후 Private Key 획득, 임의의 SAML 서명하여 Golden SAML 제작

3. [Client → AWS] GoldenSAML이 포함된 Auth Request Packet을 AWS로 전달

4. [AWS] AWS는 이 SAML을 검증한뒤 SAML에 지정된 Role, IAM에 따라 사용자의 접근을 허락

DKM (Distributed Key Manager)

AD FS에서 사용되는 암호화 키(Token Signing Key, Token Encryption Key 등)을 보호하기 위한 매커니즘으로, DKM 마스터 키는 AD에 저장되어 있으며 contact object의thumbnailPhoto 속성에 저장되어 있다.

마스터키를 획득하면 AD FS에 저장된 인증서를 복호화할 수 있게 된다.

ADFSdump에서는 ## Extracting Private Key from Active Directory Store 아래에서 확인할 수 있다.

참고: https://threathunterplaybook.com/library/windows/adfs_dkm_keys.html

TKS (Token Signing Key)

AD FS 데이터베이스에는 ServiceSettingsData 필드가 존재하며, 여기에는 Encrypted PFX(개인키 포함 인증서)가 Base64로 Encoding되어 저장되어 있다.

이 값은 Base64로 디코딩 후 DKM을 사용하여 복호화할 수 있으며, Private Key를 획득하게 되면 임의의 인증을 AD FS의 이름으로 인증할 수 있게 되어 Golden SAML 공격을 수행할 수 있게 된다.

ADFSdump에서는 Reading Encrypted Signing Key from Database 아래에서 확인할 수 있다.