AD-Ghost — Active Directoryで“幽霊”アカウントを作るツール(リポジトリ解説)

Security
AD-Ghost — Active Directoryで“幽霊”アカウントを作るツール(リポジトリ解説)

AD-Ghost — Active Directoryで“幽霊”アカウントを作るツール(リポジトリ解説)

AD-GhostはPowerShellで実装された小規模リポジトリで、READMEは“完全に検知不能なActive Directoryアカウント作成”を謳うユーモア混じりの表現で始まります。実態はhidemyass.ps1というスクリプトと簡素な説明しかなく、成熟したドキュメントや運用上の注意が不足しています。本稿ではリポジトリの構成、技術的な観点、リスクと防御策を整理します(約300字)。

https://github.com/LuemmelSec/AD-Ghost

概要

AD-Ghostは、Active Directory環境に“見えない”アカウントを作成すると主張するPowerShellベースの小さなリポジトリです。READMEはジョークや過剰な期待(“totally FUD”“undetectable”など)を交えたトーンで書かれており、実装はhidemyass.ps1という単一のスクリプトに収束します。公開物は非常に簡素で、操作手順や検知回避の詳細な解説はなく、実運用や評価においては注意が必要です。攻撃者ツールとしての可能性と、組織防御の観点からの対策を整理します。

GitHub

リポジトリの統計情報

  • スター数: 17
  • フォーク数: 2
  • ウォッチャー数: 17
  • コミット数: 5
  • ファイル数: 2
  • メインの言語: PowerShell

主な特徴

  • PowerShellで実装された単一スクリプト(hidemyass.ps1)を含む極めて小規模なリポジトリ
  • READMEは“検知不能なアカウント生成”を冗談交じりに宣伝する軽いトーン
  • 明確なドキュメントや運用手順、テレメトリの説明は存在しない
  • セキュリティ観点ではレビュー・解析の出発点としてのみ有用

技術的なポイント

リポジトリはPowerShell中心で、Active Directoryを操作するコード(ユーザー作成・属性操作に相当する処理)が含まれている想定です。ただし公開内容は限定的で、具体的な実装詳細や検知回避の具体手法はREADME上で誇張表現が多く、実際の動作確認や信頼性評価は別途慎重な解析が必要です。注目すべき技術的観点は次の通りです:まず、PowerShellはAD操作に適したAPI/モジュール(System.DirectoryServicesやActiveDirectoryモジュールなど)を利用できるため、スクリプト単体で作成・属性変更・グループ割当などが可能になります。次に“隠蔽”を謳うコードは通常、ログに残りにくい属性の設定、監査回避やイベント相関を困難にする手法、あるいは既存アカウントの混入などを試みることがありますが、こうした手法は環境依存で効果が変動します。最後に、リポジトリが単独スクリプトのみである点は、検証や逆アセンブルが比較的容易である一方で、実行権限や実行環境(ドメイン権限の有無、DCに対するアクセスパス)次第で悪用の可否が大きく左右されることを示しています。解析やテストは隔離されたラボ環境で行い、公開物をそのまま信頼して本番で実行することは避けるべきです。

プロジェクトの構成

主要なファイルとディレクトリ:

  • README.md: file
  • hidemyass.ps1: file

セキュリティ上の示唆と防御策(高レベル)

  • ADでのアカウント作成・変更に関する監査を有効にし、ログを集中収集・相関する
  • 特権アカウントの使用を厳格に制限し、最小権限原則を徹底する
  • PowerShellのスクリプトブロック記録やプロセス起動のテレメトリを取得して不審なスクリプト実行を検出する
  • 定期的な特権アカウントレビューと不要な、または異常なユーザー属性のチェックを行う
  • エンドポイントの防御(AMSIやExecutionPolicyの活用、制御された管理ワークステーションの導入)やSIEMによるアラート設計を行う

まとめ

実行には注意を要するシンプルなPowerShellツール。解析はラボで行い、防御強化を優先すべき。

リポジトリ情報:

READMEの抜粋:

AD-Ghost

ghost

👻 AD-Ghost — The Mythical Undetectable Account Creator 👻
Beware, fellow cyber-folk! ⚠️😱
Rumor has it that a “totally FUD” 🤯✨ tool called AD-Ghost is haunting the timelines again — a tool so “powerful” 👑 and “dangerous” ☣️ that it can supposedly summon a completely invisible user account in Active Directory! 😨👻
According to the hype, this spectral creation floats through your domain…