Infrastructure

1. AD 설정

1. AD Machine

   • AD DS(Domain Server 및 Main Domain Controller) ECAMAZ-6E3DNME

     • Domain은 pbl-waffle.swu (AD-WAFFLE)

     • AD CS(Certificate Services)의 역할도 겸함

   • AD FS(Fedestration Services) adfs2

   • Victim Client client

   ⚠️ 모든 Instance는 같은 Subnet에 있어야 한다.

2. AD Account(User)

   • DS Administrator

   • fsadmin@pbl-waffle.swu

   • aws.admin@pbl-waffle.swu

   ✅ 계정들은 각 Host에서 로컬 관리자 권한을 갖고있음

   

---

2. 취약한 보안 설정

한 번에 모든 설정을 풀기보다, 공격 중 막히는 부분이 있으면 풀어내는 식으로 진행하였다. 아래는 공격 수행 과정 중 풀어낸 모든 설정을 종합하여 작성하였다.

실제로 사용되는 인프라보다 아무것도 없는 인프라에서 공격하는 게 더 어렵다는 것을 체험할 수 있다.

1. [Victim] [AD FS] Windows Defender - Real-time protection Off

2. [AD FS] WMI 서비스 방화벽 Open

   Enable-NetFirewallRule -DisplayGroup "Windows Management Instrumentation (WMI)"

3. [AD FS] WMI 관련 로컬 방화벽 해제

   New-NetFirewallRule -DisplayName "Allow SMB (TCP 445)" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Allow
   New-NetFirewallRule -DisplayName "Allow RPC (TCP 135)" -Direction Inbound -Protocol TCP -LocalPort 135 -Action Allow
   New-NetFirewallRule -DisplayName "Allow DCOM High Ports" -Direction Inbound -Protocol TCP -LocalPort 49152-65535 -Action Allow
   New-NetFirewallRule -DisplayName "Allow Named Pipes" -Direction Inbound -Protocol TCP -LocalPort 139 -Action Allow
   

4. [AD FS] WMI 권한 부여

   

   

   wmimgmt.msc 유틸리티를 실행하고 WMI 도메인에 보안 설정을 한다.

   도메인에 다음 위치에 대한 사용 권한을 할당한다.

   • root/CIMv2

   • root/Default

   • root/SecurityCenter

   • root/SecurityCenter2

   각 도메인에 다음 사용 권한을 할당한다.

   • Execute Methods

   • Enable Account

   • Remote Enable

   • Read Security

   참고: https://docs.genians.com/release/ko/authentication/enabling-authentication/sso/ms-wmi.html
5. [AD FS] DCOM 원격 접근 권한 추가

   Add-LocalGroupMember -Group "Performance Log Users" -Member "AD-WAFFLE\\fsadmin"
   Add-LocalGroupMember -Group "Distributed COM Users" -Member "AD-WAFFLE\\fsadmin"

   

   
6. [AD CS] 인증서: Private Key Exportable 설정하여 발급 [AD FS] 해당 인증서 등록 → ADFSDump 시 dkm과 tks가 제대로 출력되기 위함

   

   

---

3. 자세한 로깅 설정

※ 실제로 모든 Audit 로깅을 활성화하면 컴퓨터의 성능이 저하될 수 있으니 필요에 따라 활용해야한다.

1. [AD DS] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics 모든 값 5로 변경

   
2. [AD DS] gpmc.msc 모든 Categories Configure

   
3. [AD DS] AD Management - Domain - Properties - Security - Auditing 모두 활성화

   
4. [AD FS] SSMS(SQL Server Management Studio)에서 Audit Log 활성화

   

   
5. [AD FS][Victim Client] Local Security Policy - Audiot Policy 전체 활성화

   

---

4. 자동화 배포 설정

특정 BR을 다수 호스트에 한번에 배포하기 위해서 파워쉘 스크립트를 사용하였다.

이 때, 스크립트를 배치파일 없이 실행시키기 위해서는 별도의 설정이 필요하다.

[컴퓨터 구성 → 정책 → 관리 템플릿 → Windows 구성요소 → Windows Power Shell] 경로에서 "스크립트 실행 활성화"를 사용으로 설정하고, "모든 스크립트 허용"을 선택한다.