Dezasamblam un alt all-propo-administrativ pe tema mimikatz de utilitate
În cursul recentei atacuri a virusului-extortionist Petya, multă atenție a fost acordată noului, de vreme ce WannaCry, încărcăturile utile acestui virus. Într-adevăr, noul malware operat pentru preluarea puterii pe gazdă local nu una, ci un întreg set de vulnerabilitati - nu numai în ceea ce privește sistemul de operare Windows, dar, de asemenea, de exemplu, pachetul Microsoft Office.
Sa acordat o atenție deosebită uneia dintre componente - așa-numitele. mimikatz.
Acest modul este atribuit unor capabilități cu adevărat miraculoase care vă fac să vă amintiți de vremurile de aur ale comunităților Linux pentru elevii de liceu cu talie mintală, cu avizul expertului din formular:
orice carton Vendian cu un pachet pune-l prin orice firewall, cu excepția cazului în care funcționează sub linie
Reacția comunității administrative a profesorilor din domeniul Windows este să dezvăluiți totul în mod implicit, așa cum este spus în MS și să lăsați-o să funcționeze, să ședem și să nu aburăm, iar dacă este așa, trebuie să reluăm de la zero sau sunteți mai deștepți. totuși, grație înțelegerii aproape zero a materialului, nu a fost deosebit de diferită:
Mimikats propune să se predea?
Ce este mimikatz
Vom lua în considerare versiunea 2.1.1 disponibilă în momentul acestei scrieri și ne vom limita la elaborarea aceleiași funcționalități pe care le aplică virusul Petya.A (lco). Asta este, nu vom scrie un manual cu privire la utilizarea mimikatz.
Partea tehnică a testelor
Mimikatz - depanare privilegii de apucare
Pentru a efectua o parte din acțiunile sale, mimikatz își petrece "apucând" privilegiile depanării. Din acest motiv, acesta poate primi acces la nivel scăzut la procesele pornite din conturile sistemului (LocalSystem, de asemenea, SYSTEM, în NT 5.1 împărțit în variantele LocalService / NetworkService).
În interfață, această acțiune este efectuată de comanda privilege :: debug. Dacă este reușit, apare Privilege '20' OK. în caz de eșec - Observație: EROARE kuhl_m_privilege_simple; RtlAdjustPrivilege (20) c0000061.
Prevenirea posibilității de depanare
În mod implicit în politica de securitate locale, care, de exemplu, în domeniu implicit Controllers Policy de depanare privilegiu de grup a emis builtin \ Administrators. Eliberat - acest lucru înseamnă că procesul se execută în sesiune, în care markerul are un SID al grupului, poate solicita „Vreau să depanare“ și a obține această linie de biți „privilegii“ ale jeton său de acces (în cazul UAC - la fel ca în versiunea clasică a acestui biți apare în token-ul imediat după procedura de conectare).
Aceasta este o setare absolut dăunătoare "implicit", deoarece de fapt privilegiul de depanare nu este folosit de aplicațiile normale. În plus, chiar și dezvoltatorii o au nevoie în cazuri extrem de rare - deoarece chiar și depanarea aplicațiilor care rulează din contul lor pe platforma Windows este efectuată fără un privilegiu de depanare. Asta înseamnă că dezvoltarea aplicațiilor sau a aplicațiilor bazate pe coduri poate fi efectuată fără probleme chiar și fără acest privilegiu. Este necesar - din nou - numai în scenariul "un utilizator specific are nevoie de abilitatea de a depana procesele de sistem".
Mai mult decât atât - chiar dacă este necesar pentru programator, este pentru depanarea serviciului de sistem, dar pe celălalt nod - există o variantă de depanare a modului Secure kernel. la care programatorul poate depana, dar pe sistemul cu care este conectat, acest privilegiu nu primește.
Rezolvăm situația pur și simplu - în Politica de grup (în cazul domeniului) sau local (dacă este vorba de sistemul independent), adăugăm un grup nou creat, al cărui membru va indica faptul că acest cont explicit specificat se poate bucura de acest privilegiu. Nici o lucrare nu este afectată de niciun software, în principiu - nu există software de afaceri cu timp complet care să nu-și poată îndeplini sarcinile fără a întâmpina o depanare accidentală a kernel-ului NT. Dar aici sunt administratorii - local, că domeniul - la care drepturile sunt emise în conformitate cu logica "dar să facem administratorul general al administratorului întreprinderii, și apoi brusc ceva nu va funcționa pentru el" - suficient.
În captura de ecran - politica locală pe DC, deci nu voi redefini direct în ea, totuși parametrul va fi blocat de politica domeniului. Rezultatul va arăta astfel:
Acum mimikatz nu poate obține un privilegiu de depanare:
În același timp, am rămas atât un administrator local, cât și un membru al Domain Admins și Enterprise Admins. Putem efectua toate aceleasi (orice) sarcini cu Active Directory.
Mimikatz - obțineți acces la diverse informații de autentificare
În Windows, pentru compatibilitate - nu numai cu versiuni mai vechi de Windows, dar și cu tehnologii terțe (de exemplu, cele care utilizează protocoale PPP care se pot conecta la CHAP clasic) pot stoca mai multe versiuni ale hash-ului parolei utilizatorului.
Această listă poate include următoarele elemente:
- Plaintext - parola în clar.
- WDigest - parola după conversia CHAP / MD5.
- LM-hash este un hash pentru vechiul LanManager.
- NTLM-hash este un hash pentru NTLM și Kerberos.
Mimikatz descarcă hash-urile și acreditările din lsass-ul care rulează cu lsadump :: lsa / name: Administrator / inject:
Am descărcat multe, da.
Să începem cu caracteristicile disponibile pe sistemele de operare moderne și care este mai ușor să începeți să utilizați imediat sistemele de acasă și standalone.
Protecția LSASS de conexiunile de la module terțe
Acest mod este pornit pur și simplu - în ramura de registru HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa, valoarea RunAsPPL de tip DWORD32 este creată și este setată la una.
După procesarea cu succes în jurnalul de sistem în numele WinInit, va exista un eveniment:
LSASS.exe a fost pornit ca un proces protejat cu nivel: 4
Lucrul în modul protejat LSASS nu va încărca plug-in-urile nesemnate. Dacă nu le folosiți, aceasta va dezactiva efectiv principala posibilitate, chiar dacă veți obține drepturi LocalSystem pentru a ajunge la memoria operațională a procesului LSA. Dar aveți grijă dacă utilizați:
Toate acestea după includerea acestui mod trebuie fie semnate de Microsoft, fie nu vor fi descărcate, iar în jurnalele vor fi evenimentele 3033 și 3036.
Acum hai să vorbim despre cum să scăpăm de existența unor hashes inutile.
Reduceți numărul de opțiuni de contabilitate stocate
Pentru cum să scap de vechiul hash LM, am scris într-un articol separat despre LM și NTLM. așa că nu mă voi repeta.
Dacă nu utilizați autentificarea digest, puteți spune în mod explicit sistemului că nu se ocupă de nonsens despre generarea și stocarea acestora.
Chiar dacă digest și va fi necesar, uneori, doar utilizatorul va fi mult mai probabil să fie solicitate pentru informațiile de autentificare - adică, această setare dezactivează cache-l în RAM, mai degrabă decât întregul mecanism Digest. Resursele HTTP care au nevoie de această metodă specială vor fi disponibile în continuare.
Dacă sunteți îngrijorat de faptul că există un sistem de efectuare a autentificării armonizarea în mod constant metode, iar acest sistem poate fi atât de „dosoglasovatsya“ la WDigest - în aceeași ordine de idei, HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ WDigest este valoarea Negociați. prea DWORD32. care poate fi resetat în mod explicit la zero și atunci orice variație nu va negocia la metodele de căutare utilizate WDigest.
Criptare reversibilă
În aplicația Active Directory, stocarea datelor tip CHAP (de fapt, parolele criptate criptate) este implementată printr-un atribut suplimentar de la principalul de securitate. Puteți spune în mod explicit că acest lucru nu se face niciodată - pentru aceasta există o politică de grup:
Există o setare similară pentru fiecare cont de utilizator, dar este mai ușor să îl dezactivați la nivel global.
Rezultatul este o "șeptel" foarte redus de moduri de utilizare și vulnerabilități de prezentare a informațiilor de autentificare.
Șterge automat memoria cache a conturilor înregistrate recent
Dacă principalul de securitate a încheiat sesiunea în sistem, acreditările sale se desfășoară o perioadă îndelungată. Aceasta nu este o eroare - este necesar ca scenariile să "pornească operația și să se închidă".
Timpul în care memoria live a lsass conține acreditările sesiunii de cont doar finalizate poate fi configurată.
În HKEY_LOCAL_MACHINE \ SYSTEM sucursală registru \ CurrentControlSet \ Control \ Lsa \ un parametru TokenLeakDetectDelaySecs. Din nou, de tip DWORD32. Spotting-l într-o mică valoare (de exemplu, 10 secunde) clasa oportunitate otsechot „fișier sau PDR-server de tocat și luate din procesul LSASS toate datele din toate conectate și pot fi acum deconectat NTML-hash încerca să atace“ atacuri.
Acum despre ipotezele eronate despre mimikatz.
Mimikatz - Bilet de aur sau argint pentru Kerberos
Unii "experți" declară eronat că virusul Petya.A (lco) poate "rupe domeniile Active Directory prin gaura Golden Ticket".
Nu este așa - și nu este o gaură, și nu un director Active, iar virusul nu o face, iar mimikatz poate încerca.
Adevărul pentru aceasta este următoarea listă de condiții:
- Trebuie să cunoașteți parola din RID 502, contul krbtgt. accesibil pe oricare dintre non-RODC (deoarece pe RODC fiecare are propriul său krbtgt).
- Aveți nevoie de drepturi de administrator local la DC.
- Nu trebuie să existe prea autentificare Kerberos.
După cum puteți vedea, nu totul este atât de neclar - în special, de ce spargeți ceva, dacă sunteți administrator pe un controler de domeniu.
Acum puțin despre panaceu.
Utilizarea utilizatorilor protejați
Unul dintre cele mai importante momente din toate hiperele în jurul Petya.A (lco) este o căutare rapidă a unui panaceu. Din anumite motive, metode foarte rapide și simple nu sunt luate în considerare, de exemplu, distribuirea corectă a drepturilor într-un domeniu și plasarea de patch-uri critice într-un timp rezonabil după eliberare. Este mai ușor să aștepți glonțul de aur, care va rezolva toate întrebările. Pentru această poziție în acest caz, "comunitățile de experți" au desemnat în grabă o tehnică "să adauge toți utilizatorii la utilizatorii protejați și să nu se scalde".
Pentru o idee despre ceea ce face ca un grup de utilizatori protejate - implică de fapt pachetul întreg, precum și tehnologiile de securitate pre-existente - se afla in articolul despre LM și NTLM - fiecare dintre aceste tehnologii are avantajele și dezavantajele sale, efecte secundare și caracteristici, astfel încât abordarea este „taxă unică apăsați un buton special pentru a face totul bine „, în acest caz, este ilustrativ.
Fiți mai inteligenți - învățați tehnologia nu este superficială, dar serios. Acest lucru este banal în ceea ce privește timpul și confortul personal rezultat.
Pentru că, în acest caz, de exemplu, la crearea unui politician competent (non-debug-acordarea de privilegii tuturor administratorilor) pot avea 18 ani consecutivi că modul în care aceasta nu dă nici o ocazie de a ataca descris de mimikatz.