Impacketのimpacket-machine_roleスクリプト徹底解説 🕵️

まず、Impacketについて簡単に触れておきましょう。Impacketは、ネットワークプロトコルを低レベルで操作するためのPythonクラスのコレクションです。特に、Microsoft Windows環境で広く使用されているSMB (Server Message Block) や MSRPC (Microsoft Remote Procedure Call) などのプロトコルを扱う機能が豊富で、セキュリティ研究者やペンテスターによって広く利用されています。Impacketには、これらのプロトコルを利用した様々な便利なスクリプトが含まれており、`impacket-machine_role` もその一つです。

impacket-machine_role スクリプトの主な目的は、指定されたコンピューターアカウントがActive Directoryドメイン内でどのような役割を持っているかを特定することです。具体的には、対象のアカウントが以下のいずれであるかを判別します。

• ドメインコントローラー (Domain Controller)
• サーバー (Server)
• ワークステーション (Workstation)

これは、SAMR (Security Account Manager Remote) プロトコルを使用して、対象コンピューターアカウントの `UserAccountControl` 属性に含まれるアカウントタイプフラグ (`UF_SERVER_TRUST_ACCOUNT` や `UF_WORKSTATION_TRUST_ACCOUNT`) を問い合わせることで実現されます。この情報により、攻撃対象の優先順位付けや、ネットワーク構成の理解を深めることができます。✅

`impacket-machine_role` を使用するには、まずImpacketがインストールされている必要があります。Pythonとpipがセットアップされていれば、以下のコマンドで簡単にインストールできます。

pip install impacket

もしくは、GitHubからリポジトリをクローンして手動でインストールすることも可能です。

git clone https://github.com/fortra/impacket.git
cd impacket
pip install .

実行権限について:
`impacket-machine_role` は、ドメイン内のコンピューターアカウント情報を取得するために、通常、ドメインユーザーの認証情報（ユーザー名とパスワード、またはNTLMハッシュ）が必要です。ドメインコントローラーに対してSAMRクエリを実行する権限を持つアカウントである必要があります。一般のドメインユーザーアカウントでも実行可能な場合が多いですが、環境によってはアクセス制限が設けられている可能性もあります。Kerberos認証を使用する場合は、有効なKerberosチケットが必要です。

`impacket-machine_role` の基本的な構文は以下の通りです。

impacket-machine_role <domain>/<username>[:<password>]@<target> [options]

各要素の説明：

• <domain>: 対象ドメイン名。
• <username>: ドメインユーザー名。
• <password>: ユーザーのパスワード（省略可能、後述の認証方法を参照）。
• <target>: 役割を調査したいコンピューター名（NetBIOS名またはFQDN）またはIPアドレス。
• [options]: 追加のオプション（後述）。

例：パスワード認証で単一ホストをチェック

ドメイン `CONTOSO.local` のユーザー `testuser` (パスワード: `Password123`) を使用して、コンピューター `DC01` の役割を調べる場合：

impacket-machine_role CONTOSO.local/testuser:Password123@DC01

実行すると、以下のような出力が得られます (対象がドメインコントローラーの場合)。

Impacket v0.1X.Y - Copyright 2023 Fortra

[*] Querying machine role for DC01$@CONTOSO.local
[*] DC01$ is a Domain Controller

対象がワークステーションまたはサーバーの場合は、以下のように表示されます。

Impacket v0.1X.Y - Copyright 2023 Fortra

[*] Querying machine role for WKSTN01$@CONTOSO.local
[*] WKSTN01$ is a Workstation or Server

このように、`impacket-machine_role` は指定されたターゲットマシンのアカウント(`$`が付加されたもの) の役割を判別して表示します。

`impacket-machine_role` は、平文パスワード以外にも複数の認証方法をサポートしています。これにより、環境や入手できている認証情報に応じて柔軟に対応できます。

4.1. パスワード認証

最も基本的な方法です。パスワードは、ターゲット指定部分に含めるか、-p オプションで指定します。パスワードを省略した場合、対話的に入力が求められます。

# パスワードをターゲット文字列に含める
impacket-machine_role CONTOSO.local/testuser:Password123@DC01

# パスワードを省略（対話的に入力）
impacket-machine_role CONTOSO.local/testuser@DC01
Password: <ここでパスワードを入力>

# -p オプション（現在は非推奨、または機能しない可能性あり。ターゲット文字列に含めるか対話入力が推奨）
# impacket-machine_role CONTOSO.local/testuser@DC01 -p Password123

4.2. NTLMハッシュ認証 (`-hashes`)

パスワードの代わりにNTLMハッシュを使用して認証を行うことができます。これは、パスワードが不明でもハッシュが判明している場合に非常に有効です。LMハッシュは通常不要なので、`:` の前は空欄にします。

impacket-machine_role CONTOSO.local/testuser@DC01 -hashes :<NTLMハッシュ>

例：NTLMハッシュが `0123456789abcdef0123456789abcdef` の場合

impacket-machine_role CONTOSO.local/testuser@DC01 -hashes :0123456789abcdef0123456789abcdef

4.3. Kerberos認証 (`-k` / `-no-pass`)

Kerberos認証を使用することも可能です。事前に有効なKerberos TGT (Ticket Granting Ticket) を取得しておく必要があります。kinit コマンドなどで取得できます。

-k オプションを指定し、パスワードは不要なため -no-pass オプションを併用します。

# 事前に kinit testuser@CONTOSO.LOCAL を実行しておく
impacket-machine_role CONTOSO.local/testuser@DC01 -k -no-pass

-dc-ip オプションでKDC（Key Distribution Center、通常はドメインコントローラー）のIPアドレスを指定する必要がある場合もあります。

impacket-machine_role CONTOSO.local/testuser@DC01 -k -no-pass -dc-ip 192.168.1.10

4.4. Kerberosチケットファイル (`-k` / `-no-pass` / 環境変数 KRB5CCNAME)

TGTを含む ccache ファイルを直接指定してKerberos認証を行うこともできます。環境変数 `KRB5CCNAME` でチケットファイルのパスを指定します。

export KRB5CCNAME=/path/to/ticket.ccache
impacket-machine_role CONTOSO.local/testuser@DC01 -k -no-pass

または、getTGT.py など Impacket の他のツールで取得したチケットを利用することも考えられます。

役割を調査したい対象マシンは、認証情報 `@` の後に指定しますが、複数のターゲットを効率的に処理する方法もあります。

5.1. 単一ターゲット

基本的な使い方で示した通り、単一のホスト名またはIPアドレスを指定します。

impacket-machine_role CONTOSO.local/testuser:Password123@DC01
impacket-machine_role CONTOSO.local/testuser:Password123@192.168.1.10

5.2. ターゲットファイル (`-target-file`)

複数のターゲットに対して一度に調査を実行したい場合、ターゲットのリストをファイルに記述し、-target-file オプションで指定できます。ファイルには、1行に1つのターゲット（ホスト名またはIPアドレス）を記述します。

targets.txt ファイルの例:

DC01
DC02
SRV01
WKSTN01
192.168.1.10
192.168.1.20

コマンド実行例:

impacket-machine_role CONTOSO.local/testuser:Password123@dummy_target -target-file targets.txt

このオプションを使用すると、ネットワークスキャンなどで発見した多数のホストに対して、効率的に役割を判別できます。🚀

`impacket-machine_role` には、動作をカスタマイズするためのいくつかのオプションがあります。

`impacket-machine_role` がどのようにしてコンピューターの役割を特定しているのか、その技術的な背景を少し見てみましょう。このスクリプトは、主に以下のステップで動作します。

1. SMB接続確立: 指定されたターゲット (またはDC) のポート 445 (または指定ポート) に対してSMB接続を試みます。認証情報 (パスワード、ハッシュ、Kerberosチケット) を使用してセッションを確立します。
2. RPC/SAMRバインド: SMBセッション上で、RPC (Remote Procedure Call) を介して SAMR (Security Account Manager Remote) サービスのエンドポイントに接続 (バインド) します。SAMRは、ユーザーやグループなどのセキュリティアカウント情報をリモートから管理するためのプロトコルです。
3. ドメイン/アカウント検索: SAMRの機能を使用し、調査対象のコンピューターアカウント (例: `DC01$`) をドメイン内で検索します。通常、SamrConnect, SamrOpenDomain, SamrLookupNamesInDomain といった関数呼び出しが内部で行われ、対象アカウントのSID (Security Identifier) を取得します。
4. アカウント情報クエリ: 取得したSIDを使用して、SamrOpenUser で対象のコンピューターアカウントを開きます。そして、SamrQueryInformationUser 関数を呼び出し、アカウント情報を要求します。この際、USER_INFORMATION_CLASS として UserAccountInformation レベルを指定します。
5. アカウントタイプフラグ解析: SamrQueryInformationUser の応答には、USER_ACCOUNT_INFORMATION 構造体が含まれており、その中に `AccountType` フィールド (実体は `UserAccountControl` 属性の一部) があります。impacket-machine_role は、この値に含まれる以下のフラグを確認します。
   • UF_SERVER_TRUST_ACCOUNT (0x2000): このフラグが立っている場合、アカウントはドメインコントローラーのコンピューターアカウントです。
   • UF_WORKSTATION_TRUST_ACCOUNT (0x1000): このフラグが立っている場合、アカウントはワークステーションまたはメンバーサーバーのコンピューターアカウントです。
6. 結果表示: 上記のフラグに基づいて、対象コンピューターが「Domain Controller」であるか、「Workstation or Server」であるかを判断し、結果を表示します。

このように、`impacket-machine_role` は標準的なWindowsプロトコルであるSMBとSAMRを利用して、比較的低負荷かつ効率的にコンピューターアカウントの役割を特定することができます。🤓

`impacket-machine_role` は、様々なシナリオで役立ちます。

• ネットワーク偵察 (Reconnaissance): 侵入テストやレッドチーム活動の初期段階で、ネットワークスキャンによって発見されたホスト群の中から、ドメインコントローラー (最も重要なターゲット) を迅速に特定するために使用します。Nmapなどのスキャン結果と組み合わせることで、効率的なターゲット選定が可能になります。

  # 例: NmapでSMBポートが開いているホストをリストアップし、そのリストを -target-file に渡す
  nmap -p 445 --open 192.168.1.0/24 -oG - | awk '/Up$/{print $2}' > smb_hosts.txt
  impacket-machine_role CONTOSO.local/testuser:Password123@dummy -target-file smb_hosts.txt -quiet

• 環境把握: システム管理者やブルーチームが、管理下のActive Directory環境の構成を把握したり、意図しないマシンがドメインコントローラーとして動作していないかを確認したりする目的で使用できます。
• 他のツールとの連携: `impacket-machine_role` の出力を他のスクリプトやツールで処理し、自動化されたワークフローに組み込むことができます。例えば、特定されたドメインコントローラーに対して、続けて別の脆弱性スキャンや情報収集ツールを実行するなどです。-quiet オプションが役立ちます。
• インシデント対応: セキュリティインシデント発生時に、侵害された可能性のあるアカウントがどのマシンに紐づいているか、またそのマシンの役割は何かを迅速に確認するのに役立ちます。

impacket-machine_role は、Impacketスイートの中でもシンプルながら非常に強力なツールであり、Active Directory環境におけるコンピューターアカウントの役割（ドメインコントローラーか、ワークステーション/サーバーか）を迅速かつ効率的に特定することができます。パスワード、NTLMハッシュ、Kerberosといった多様な認証方式に対応し、単一ホストだけでなくファイルからの複数ターゲット指定も可能です。

その動作は標準的なSMBおよびSAMRプロトコルに基づいており、ターゲット環境への影響も比較的小さいです。ペネトレーションテスト、セキュリティ監査、システム管理、インシデント対応など、幅広い場面で活用できるでしょう。

この記事を通じて、`impacket-machine_role` の使い方とその可能性について理解を深めていただけたなら幸いです。Active Directory環境のセキュリティに関わる際には、ぜひこのツールを有効活用してください。🛡️