MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。

【横展開編】Pass-the-Hash/Pass-the-Ticket/PsExec・WMIで広がる侵入|CTF思考フレームワーク #37

【横展開編】Pass-the-Hash/Pass-the-Ticket/PsExec・WMIで広がる侵入|CTF思考フレームワーク #37 アイキャッチ画像
安全に生きたい編集部

広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。

横展開(ラテラルムーブメント)って、攻撃者が社内を歩き回るってこと?

そうです。初期侵入したPC1台から、AD認証情報・SMB共有・WMI・PowerShell Remoting を経由して、他のPC・サーバーへ自由に移動。Pass-the-Hash・Pass-the-Ticket・PsExec を使えば、パスワードを知らなくてもログインできます。

横展開(Lateral Movement)は、企業侵害の最重要フェーズ。1台の感染PCから、組織内の数百〜数千台へ広がるのは数時間。Pass-the-Hash、Pass-the-Ticket、Golden Ticket、Silver Ticket――これらは現役のテクニックで、APT・ランサムウェアグループが日常的に使います。

1台感染しただけで全社侵されるって、ほんと怖い…

この記事は、CTF思考フレームワーク第37回。横展開の代表的手口(Pass-the-Hash・Pass-the-Ticket・PsExec・WMI・PowerShell Remoting)と、企業の検知・防御策(NTLM無効化・LAPS・分離・EDR)を整理します。

📖 この記事はシリーズの一部です
CTF思考フレームワーク#37 / 全86記事 → シリーズ一覧を見る →

🌐 ローカルで権限を取れたら、次の合言葉は「横展開」。1台の掌握から、ファイルサーバ・ジャンプホスト・ドメインコントローラへと侵入面を拡げていくフェーズです。

Lateral Movementの王道は、Pass-the-Hash/Pass-the-Ticket/PsExec/WMI/WinRM。どれも正規プロトコルに乗るので、ログだけ見ていると正規運用と区別がつかないのが怖いところです。

難易度:★★★(上級)

1台落ちたら全社が落ちる、横展開の王道テクニック群です🔁

横展開はPtH/PtT/PsExec/WMIの組み合わせ。鍵さえあれば全社的に広がっていくんだ🔁

この記事で出てくる言葉

先に意味を押さえておくと読みやすい用語です。

  • CTF: セキュリティの練習問題を解く競技。必ず許可された環境だけで試します。
  • 権限昇格: 一般ユーザーから管理者権限など、より強い権限を得ることです。
  • 横展開: 侵入後に別の端末やサーバーへ移動して被害範囲を広げる動きです。
  • 認証情報: ID、パスワード、APIキー、証明書などログインに使える情報です。
Contents
  1. 👀 観察フェーズ:まず何を見る?
  2. 🤔 仮説フェーズ:攻撃者は何を考える?
    1. 🪪 仮説①:Pass-the-Hash(PtH)
    2. 🎫 仮説②:Pass-the-Ticket(PtT)
    3. 🛠️ 仮説③:PsExec / WMI / WinRM
    4. 🥇 仮説④:Golden / Silver Ticket
  3. 🔬 検証フェーズ:どうやって確かめる?
  4. ⚔️ 攻撃フェーズ:実際の手口
  5. 🛡️ 防御フェーズ:どう守る?
  6. 🧪 検証用のLinuxラボを用意
  7. ⚠️ よくある落とし穴
  8. 🧰 ツール早見表
  9. 🎓 本気で学びたい人へ
  10. 📚 もっと深く学びたい人へ
  11. 📚 次に読みたい
  12. 🤝 大事なお約束

👀 観察フェーズ:まず何を見る?

まず資格情報の質と範囲を観察!ローカル管理者?ドメインユーザ?SPN持ち?で次の一手が決まる🔍

横展開の前に、攻撃者は「どこに横展開できるか」を測ります。手元のセッションで使える資格情報、開いているSMB/RPC/WinRM、信頼関係のあるドメインを把握するのが起点。

BloodhoundでADの権限関係を可視化すると、攻撃者の最短経路が一目で見えます。守る側も使えます👀

権限関係をグラフで見ると「Domain Admins まで4ホップ」みたいなのが浮かび上がるんだね😨

  • net session / quser で他端末からの接続状況
  • BloodHound でACL・グループ関係・最短攻撃パスを可視化
  • ポート 445(SMB) / 135(RPC) / 5985(WinRM) / 3389(RDP) の開放状況
  • KerberoastableなSPNと、ASREP-roastableなアカウント
  • ドメイン信頼関係(forest内の他ドメイン、外部信頼)
  • SMB SigningとLDAP Channel Bindingの設定(リレー耐性)

横展開の典型は4手法

🤔 仮説フェーズ:攻撃者は何を考える?

🪪 仮説①:Pass-the-Hash(PtH)

NTLMハッシュをそのままSMB/RPC認証に使い、パスワードを知らずに別マシンに認証。最古のテクで今も主役。

🎫 仮説②:Pass-the-Ticket(PtT)

Kerberos TGT/TGSをメモリから抜いてkerberos::pttで再利用し、他端末にKerberos認証

🛠️ 仮説③:PsExec / WMI / WinRM

管理者資格情報があればpsexec.pywmiexec.py遠隔コマンド実行。EDRに引っかかりやすいので攻撃者は派生形を使う。

🥇 仮説④:Golden / Silver Ticket

krbtgtやサービスアカウントのハッシュから永続的なKerberosチケットを偽造。検知が極めて困難。

🕶️ 攻撃者は「平文パスワードがあるならそれで十分。ハッシュしかなければPtH、Kerberosが使える環境ならPtTで気配を消す」と段取りします。検知が厳しい場合は、SMB→Admin$→PsExec の派手な手口は避けて、WMI Event Subscription や DCOM、scheduled task経由の静かな実行に切り替えます。

横展開は「正規プロトコルの悪用」だから、ログを見ないと気づけないんだね💧

🔬 検証フェーズ:どうやって確かめる?

検証は隔離ラボのADで。impacket-secretsdumpimpacket-psexecの流れが横展開の最短コースです🧪

安全な検証ラボで、各手口の通信パターンとログを観察します。PtHはNTLM認証のChallenge/Responseがそのまま残り、PtTはTGSリクエストのEncryption Type(RC4=0x17)が決め手になります。

BloodhoundのCypherクエリで「Owned→Domain Admins」の最短パスが出るのが恐ろしい😱

# 検証用:ラボのDCに対して
# 1) Pass-the-Hash(impacket)
impacket-psexec -hashes :NTLM_HASH user@target

# 2) Pass-the-Ticket(mimikatz)
kerberos::ptt ticket.kirbi
klist  # チケット注入確認

# 3) WMI実行(PsExecより静か)
impacket-wmiexec user@target -hashes :NTLM_HASH

横展開実行の本命はこの3つ

⚔️ 攻撃フェーズ:実際の手口

① PtHでServer→Server

ローカル管理者ハッシュが複数台で共通(同じイメージから展開)していると、1つ抜けたら全部抜ける。LAPS未導入の典型病。

② PtTでDomain Admins権限取得

メモリから抜いたDA権限のTGTを別端末に投入し、ADを掌握。

③ Golden Ticketで永続支配

krbtgtハッシュから10年有効のチケットを偽造。検知されてもパスワードリセット2回しないと無効化できない。

PtHは NTLM のままサーバ認証を突破。PtTは事前に取ったSilver Ticket(サービス単位)かGolden Ticket(KRBTGT必須)でドメイン全体を乗っ取り。

# Silver Ticket(特定サービスのみ偽造)
mimikatz # kerberos::golden /sid:S-1-5-21-... /target:fileserver.corp.local /service:cifs /rc4:NTLM /user:Admin /ptt

# Golden Ticket(KRBTGTハッシュ必須・10年TTL)
mimikatz # kerberos::golden /domain:corp.local /sid:S-1-5-21-... /krbtgt:KRBTGT_HASH /user:Administrator /id:500 /ptt

NTLMリレー(ntlmrelayx)も忘れずに。SMB Signingが無効ならコーヒーブレイク中に管理者を釣れます☕

横展開対策の3レイヤー!🛡️

🛡️ 防御フェーズ:どう守る?

🪜 LAPS+Tier分離

Local Admin Password Solutionでローカル管理者を端末ごとにユニーク化。Tier0/1/2の境界を厳格に。

🔐 認証プロトコルの強化

Kerberosのみ・NTLM無効化を目指す。Protected Usersグループを活用してDA端末ログオンを保護。

👀 ログ&Bloodhoundモニタ

Sysmon・4624/4672/4769イベントを集約し、異常な横展開パターンを検知。Bloodhoundで自分自身の弱点を可視化。

「1台陥落=全社陥落」を成立させない設計が、横展開対策の本質だね💪

横展開対策の三本柱は「資格情報の分離」「プロトコルの締め付け」「ティアモデル」。Tier 0/1/2 を厳格に分け、管理者アカウントを下位階層に降ろさないのが鉄則です。

  • SMB Signing必須LDAP Channel Bindingでリレー封じ
  • Protected UsersグループでNTLM・委任・キャッシュを無効化
  • KRBTGTパスワードを年1回以上ローテ(Golden Ticket TTL対策)
  • AdminSDHolder監視・GPO変更監視(永続化の伏線回収)
  • RestrictedAdmin / Remote Credential GuardでRDP経由の漏洩防止
  • BloodHoundで定期的に攻撃パスを棚卸し(防御側も使う)

🧪 検証用のLinuxラボを用意

権限昇格やエクスプロイトの練習は、許可を得た自分の検証環境で行うのがルール。💻 ConoHa VPSならUbuntuやCentOSをワンクリックで立てて、スナップショットも取れるので安心して試せます。

PR / 広告

ConoHa VPS

※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。

⚠️ よくある落とし穴

  1. PsExecだけ警戒してWMI / WinRM / DCOM経由の静かな実行を見逃す
  2. Kerberos認証はログが薄いと過信し、TGSリクエストの異常を見落とす
  3. NTLMをまだ使っているサービスを棚卸ししないままNTLM Audit policyだけ有効化
  4. KRBTGTローテを「1回だけ」やって満足する(実は2回必要)
  5. BloodHoundのデータ収集を攻撃者にだけ便利なツールだと誤解する
  6. Tier 0アカウントでTier 2端末にRDPして、その端末から漏洩

🧰 ツール早見表

ツール主な手口備考
impacketpsexec / wmiexec / smbexec / ntlmrelayx横展開の万能ナイフ
CrackMapExec / NetExec一括認証チェック・シェア列挙攻撃者御用達
BloodHoundAD攻撃パス可視化防御側も必須
RubeusKerberos操作(PtT/Kerberoast).NETベースで検知回避しやすい
Sysmon + Sigmaプロセス・認証ログから検知WMI Event Filter監視も

🎓 本気で学びたい人へ

Linuxとサーバ・セキュリティを仕事レベルで学びたい方へ。🎓 ササエルはインフラエンジニア向けスクールで、システム設計から防御設計まで広くカバーしています。

PR / 広告

ササエル

📚 もっと深く学びたい人へ

体系的に学ぶなら『ホワイトハッカー入門』、手を動かして覚えるなら『TryHackMeを使って身体で覚える攻撃手法と脆弱性』が定番。両方持っておくと、知識と実践の両輪で伸びます📚

📚 次に読みたい

🤝 大事なお約束

必ず守ってね

この記事で扱う確認・検証は、自分の環境、CTF、または明示的に許可された演習環境だけで行ってください。他人のサービスや端末に無断で試す行為は、不正アクセス等に該当するおそれがあります。学んだ知識は守る側で活用しましょう。

Recommend
こちらの記事もどうぞ
記事URLをコピーしました