窃取或伪造身份验证证书

对手可能会窃取或伪造用于身份验证的证书，以访问远程系统或资源。数字证书通常用于签名和加密消息和/或文件。证书也用作身份验证材料。例如，Entra ID 设备证书和 Active Directory 证书服务 (AD CS) 证书绑定到一个身份，并且可以用作域帐户的凭据。(引用: O365 Blog Azure AD Device IDs)(引用: Microsoft AD CS Overview) 身份验证证书可以被窃取和伪造。例如，可以从加密存储（在注册表或文件中）(引用: APT29 Deep Look at Credential Roaming)、放错位置的证书文件（即 不安全凭据）或通过各种加密 API 直接从 Windows 证书存储中窃取 AD CS 证书。(引用: SpecterOps Certified Pre Owned)(引用: GitHub CertStealer)(引用: GitHub GhostPack Certificates) 具有适当注册权限的用户和/或计算机可以从企业证书颁发机构 (CA) 请求和/或手动更新证书。此注册过程定义了与证书相关的各种设置和权限。值得注意的是，证书的扩展密钥用法 (EKU) 值定义了签名、加密和身份验证用例，而证书的主题备用名称 (SAN) 值定义了证书所有者的备用名称。(引用: Medium Certified Pre Owned) 滥用证书作为身份验证凭据可能会启用其他行为，例如 横向移动。证书相关的配置错误也可能通过允许用户通过与证书关联的身份 (SAN) 模拟或承担特权帐户或权限来启用 权限提升 的机会。这些滥用还可能通过窃取或伪造可用作 有效帐户 的证书在证书有效期内启用 持久性，尽管用户密码已重置。身份验证证书也可以被窃取和伪造用于计算机帐户。 对手如果能够访问根（或从属）CA 证书私钥（或保护/管理这些密钥的机制），还可以通过伪造受害者域的任意身份验证证书（称为“黄金”证书）建立 持久性。(引用: Medium Certified Pre Owned) 对手还可能针对证书和相关服务以访问其他形式的凭据，例如 黄金票证 票证授予票证 (TGT) 或 NTLM 明文。(引用: Medium Certified Pre Owned)