ProfileHound: Post-Escalation Tool Designed to Achieve Red Team Objectives
2026/01/05 gbhackers — ProfileHound は、攻撃セキュリティ専門家向けのポスト・エクスプロイト・フェーズに特化されたツールであり、Active Directory 環境において高価値ターゲットを特定することを目的としている。このツールは、侵害されたマシン上に保存されているドメイン・ユーザー・プロファイルを列挙することで、レッドチーム偵察における重要なギャップを解消する。それにより、オペレーターは、優先的に保護すべきシステムを、データに基づいて判断できるようになる。
ProfileHound の革新的なコアは、ドメイン・ユーザーとそのプロファイル・ディレクトリを保持するマシンとの関係を表現するための、新たな BloodHound グラフエッジ HasUserProfile を生成する点にある。
従来の BloodHound が提供する HasSession エッジは、そのときにログインしているアクティブ・ユーザーのみを可視化する。その一方で ProfileHound は、ユーザーがログインしていない場合でも、システム上に残存する休眠ユーザー・プロファイルを明らかにする。
この違いが極めて大きなものとなるのは、マシンの特定が必須となるポスト・エクスプロイト・フェーズで調査を実施するときである。そこで可視化されるべきものには、キャッシュされた認証情報/DPAPI により暗号化されたシークレット/SSH キー/クラウド認証情報などがある。
ProfileHound を動作させるには、対象マシンの C$ 管理共有に対する管理者権限が必要となる。このツールは、そこから Users ディレクトリ構造を列挙する。
ProfileHound は NTUSER.DAT ファイルを解析することで、ユーザーの Security Identifier (SID)/プロファイル作成時刻/最終変更時刻といった重要なメタデータを抽出する。
これらの時系列データにより、オペレーターはプロファイルの経過年数や使用傾向を把握できる。それにより、現在も利用されているアカウントと、長年にわたり機密情報が蓄積されている可能性のあるレガシー・プロファイルとの区別が可能になる。
GitHub の情報によると、ProfileHound は OpenGraph 形式を通じて BloodHound Community Edition とシームレスに統合されており、収集データをドラッグ&ドロップで直接インポートできる。
さらに、このツールが同時に生成するものには、最も多くのユーザーに利用されているマシン/プロファイル分布に基づく高価値ユーザー/悪用される可能性が最も高い最古のプロファイルなどを特定するための、詳細な統計サマリーがある。
主な機能と特長
| Feature | Description |
|---|---|
| HasUserProfile Edge | Creates new graph edge mapping user profiles on domain machines |
| BloodHound Integration | Compatible with BloodHound OpenGraph format for direct import |
| Administrative Access | Requires admin credentials to enumerate C$ share on targets |
| Timestamp Analysis | Tracks profile creation and modification dates for activity assessment |
| DPAPI Integration | Extracts user SIDs from DPAPI directory structures |
| Advanced Queries | Pre-built Cypher queries for targeting active profiles and groups |
| Multiple Deployment | Supports pipx, source installation, and Docker containers |
| Target Selection | Automatic LDAP discovery or manual target specification |
| Profile Statistics | Generates detailed distribution and machine hub reports |
| SID Extraction | Retrieves security identifiers from NTUSER.DAT metadata |
いまの ProfileHound は、開発の初期段階にあるため、追加の収集モードが実装されるまでは、本番環境への導入に際して慎重な運用が求められる。
このプロジェクトは、Remi Gascou による ShareHound および bhopengraph ライブラリをベースにしている。ロードマップに含まれるものには、SCCMHunter との統合/Azure AD デバイスの所有権相関に加えて、機密性の高い履歴データを対象とする NTUSER.DAT ファイル・マイニングなどがある。
特定のマシンからのみアクセス可能な、クラウド隣接 SaaS アプリケーションを標的とするレッドチームや、複数年分のプロファイル・アーティファクトを保持するマシンを優先したいレッドチームにとって、ProfileHound はポスト・エクスプロイト・ワークフローにおける強力な追加要素となる。
これまで見落とされがちだった、過去にパソコンを使ったユーザーという情報が、セキュリティ上の大きなリスクになることが分かります。この問題の原因は、ユーザーがログアウトした後であっても、そのパソコン内のプロファイルに、重要なデータが残ってしまうことにあります。従来の調査ツールでは、その時点でのログイン・ユーザーしか見えませんでしたが、このツールを使うことで、かつて使っていた人物まで把握できるようになります。プロファイルの中には、古いパスワード情報やクラウドへの接続キーが保存されていることも多いため、攻撃者にとって魅力的な標的になってしまいます。よろしければ、Active Directory での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.