五种常见windows安全加固对mimikatz功能的影响

admin 2022年5月29日01:03:36应急响应评论14 views5699字阅读18分59秒阅读模式

No.1

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

No.2

前言

看了一篇防御讲mimikatz的文章(https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5),感觉行文思路还不错,但是内容稍有不足,国内也有一篇翻译,但是只是照着错误翻译的,所以就萌生了把那篇优秀文章,翻译复现,并加入其它一些内容,本文只是抛砖引玉,文中有错误的话,欢迎吐槽。

mimikatz在渗透中是个很有用的工具。它其中有一个广为人知的功能是让攻击者从内存中读取到明文密码,通常抓到密码之后就可以进行横向移动和提权等操作,进行更进一步的渗透。大家都知道这个工具很厉害,微软肯定也知道了,所以就搞了一些安全防护机制让mimikatz抓不到密码,或者其他干扰攻击者操作的防御措施。

No.3

Debug Privilege

一般情况下,只要有本地管理员权限就能从内存中抓出密码。在windows里,调试权限可以用来调试进程。对于mimikatz来说,通常套路来说,他想去读取内存就得获取调试权限,然后去打开进程。默认情况下,本地管理员组是有这个权限的。但是,除非本地管理员是个IT相关从业者,一般他应该用不到这种权限。

本地安全策略是默认给管理员组权限的。

五种常见windows安全加固对mimikatz功能的影响

然而,域的默认组策略在这一项是没有定义的。

五种常见windows安全加固对mimikatz功能的影响

按照windows策略的效力位阶,最终是管理员组拥有该权限。

(补充下效力位阶:默认情况下,多条策略不冲突的情况下,多条策略是合并的关系;如果冲突的话,优先级高的适用,优先级从低到高为local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元))

不同配置对mimikatz的影响

默认情况下,成功取得调试权限。

五种常见windows安全加固对mimikatz功能的影响

把拥有调试权限的组设置为空。注销再次登陆。

五种常见windows安全加固对mimikatz功能的影响

运行mimikatz,获取调试权限失败。

五种常见windows安全加固对mimikatz功能的影响

No.4

WDigest

WDigest协议早在xp时代就已经引入了。当时这个协议设计出来是把明文密码存在lsass里为了http认证的。默认在win2008之前是默认启用的。那么攻击者就能从中获取到明文。

但是在win2008之后的系统上,默认是关闭的。如果在win2008之前的系统上打了KB2871997补丁,那么就可以去启用或者禁用WDigest,配置如下键值:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigest

UseLogonCredential 值设置为 0, WDigest不把凭证缓存在内存;UseLogonCredential 值设置为 1, WDigest就把凭证缓存在内存。

不同配置对mimikatz的影响

启用缓存,可以直接用mimikatz获取到明文

五种常见windows安全加固对mimikatz功能的影响

关了缓存之后,重启再抓,什么东西也没抓到,显为null。

五种常见windows安全加固对mimikatz功能的影响

No.5

Credential Caching

Domain Cached Credentials简称DDC,也叫mscache。有两个版本,XP/2003年代的叫第一代,Vasta/2008之后的是第二代。


计算机在加入域之后就得通过kerberos进行认证,通过kerberos认证就得有域控的参与,但是如果域成员暂时无法访问到域控的话,岂不是无法认证了?域凭证缓存就是为了解决这个问题的。如果暂时访问不到域控,windows就尝试使用本机缓存的凭证进行认证,默认缓存十条。


缓存位置(默认本地管理员也没有权限访问):

HKEY_LOCAL_MACHINESECURITYCache

修改组策略缓存条数为0,即为不缓存。

五种常见windows安全加固对mimikatz功能的影响

不同配置对mimikatz的影响

默认配置缓存10条。登陆本地管理员,提权到system权限,然后运行mimikatz,成功抓到mscachev2。

五种常见windows安全加固对mimikatz功能的影响

mscache无法直接使用,只能破解出明文再进行使用。可使用hashcat或者john进行破解。
hashcat的hash格式如下(10240是一个固定的值):

五种常见windows安全加固对mimikatz功能的影响
五种常见windows安全加固对mimikatz功能的影响

john的hash格式为:  

 sp_farm:41b683f45970280199d1e9e5a4d95825:PTT:ptt.local

设置缓存数为0,停掉域控,然后再登陆域账号。域成员发现无法登陆了。

五种常见windows安全加固对mimikatz功能的影响

登陆本地管理员账号,提取到system,然后什么也没抓到。

五种常见windows安全加固对mimikatz功能的影响

No.6

Protected Users Group

受保护的用户组,可以用来让像本地管理员这样的高权限用户只能通过kerberos来认证。这是在win2012之后引入的一个新的安全组(win2008之前的系统打了KB2871997补丁也会增加这个安全组)。来防止明文存储在内存中和Net-NTLM hash泄露(因为是通过kerberos认证所以也就不会泄露Net-NTLM hash了)。
windows官方的简短介绍,受保护的用户组不能做的事情:

  • 不能通过NTLM协议进行认证。

  • 不能在kerberos预认证中使用DES或者RC4这种弱加密算法。

  • 不能被kerberos委派或者非约束委派。

  • Kerberos TGT默认为4小时,4小时过后就要重新认证。

这个配置起来比较简单。把想要保护的用户加入这个组就行了。

五种常见windows安全加固对mimikatz功能的影响

No.7

Restricted Admin Mode

通过RDP中间人攻击我们可以获取到登录用户的密码,这证明客户端输入的密码在登录过程中是需要传送到服务端的。受限管理员模式,是一种安全措施,让你的账户不暴露在目标系统里,也就是不会传送可被解密的明文密码。在win8.1/win2012r2(切记是R2)引入。win7/win2008想用这个功能就得打KB2871997、KB2973351。这项功能的使用需要客户端和服务端相互配合。在服务端开启的方法是在注册表添加如下键值。

REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

右键->关于,查看下客户端的版本是不是rdp8.1版本。

五种常见windows安全加固对mimikatz功能的影响

潜在风险-RDP PTH

受限管理员模式可以直接用当前登录凭据进行登录,所以这“始终要求凭据”的勾肯定不能勾。

五种常见windows安全加固对mimikatz功能的影响

mimikatz命令:

sekurlsa::pth /user:<username> /domain:<comptername or ip> /ntlm:<ntlm hash> "/run:mstsc.exe /restrictedadmin"

domain位置用计算机名或者ip皆可。(需要管理员权限来获取debug权限)

五种常见windows安全加固对mimikatz功能的影响

一路确定下去就OK了。

五种常见windows安全加固对mimikatz功能的影响
五种常见windows安全加固对mimikatz功能的影响

成功把域控上的管理员顶掉了。

五种常见windows安全加固对mimikatz功能的影响

看一下流量,是正常的RDP登录:

五种常见windows安全加固对mimikatz功能的影响

No.8

总结

  • 禁止调试权限对获取system的攻击者来说没有任何作用。

  • WDigest默认是禁用的,但是我们手动打开,可以挖个坑等人跳。

  • mscache目前貌似只能用hashcat来破解,破出明文再利用。

  • Protected Users Group特性较多,其对实战的影响,值得再研究。

  • Restricted Admin Mode下pth攻击只能适用于特定版本,限制还是比较多的,不过极端条件下可能会有用。

No.9

参考资料

  • https://labs.portcullis.co.uk/tools/freerdp-pth/

  • https://blogs.technet.microsoft.com/kfalde/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2/

  • http://wwwtt0401.blog.163.com/blog/static/361493062012010114020272/

  • https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5

No.10

安服西南大区招聘

安全服务部西南大区致力于成都、重庆、昆明等地的安全服务业务支撑,主要提供安全咨询类、安全评价类、安全运维类及平台运营类安全服务业务。拥有专业级安全技术、高效力安全应急、零事故安全保障、持续性安全创新的服务体系,具备完备的安全咨询、渗透测试、代码审计、应急响应、网络安保的服务技术能力。力争和用户共建共享型行业生态,做极致责任的创新者。

安全服务工程师(实习)

————————

工作地点:成都、重庆、昆明

【岗位职责】

1.对网络安全攻防感兴趣,熟练掌握渗透测试技巧、熟练运用各类安全软件、安全测试工具;
2.熟悉渗透测试步骤、方法、流程,熟练使用渗透测试工具;
3.熟悉常见web安全漏洞的原理、测试方法、加固方法;
4.具有较好的文档、报告、方案编写能力;
5.具备优秀的沟通协调能力、学习能力、抗压能力;


【任职要求】

1.开发过相关安全工具、平台、项目优先;
2.在t00ls、freebuf、Seebug等平台发布过技术文章者优先;
3.有web开发经验或熟悉PHP/C#/Java/Python任意一种语言者优先;
4.有CTF、攻防比赛获得奖项者优先;
5..有知名SRC、漏洞平台、CVE、CNVD、CNNVD漏洞提交证明者优先。
6..信息安全专业可放宽要求。


简历投递至:[email protected]

安全服务项目经理

————————

工作地点:昆明

【岗位职责】

1.协助公司销售人员完成安全服务项目的售前技术支持工作;
2.负责客户售前交流沟通工作,并根据客户需求设计解决方案;
3.负责完成安全服务项目的招投标工作,包括标书设计、投标应答、讲解与答疑;
4.跟踪最新行业领域技术相关知识,对于重点行业客户信息安全技术体系进行深入了解;为内部销售人员进行技术培训。
5、日常安全服务项目的实施管理,人员协调。


【任职要求】

1、3年以上信息安全服务相关工作经验;
2.熟悉常见安全服务业务(漏洞扫描、渗透测试、风险评估、安全评估、安全培训、代码审计、应急响应、网络安保等)服务内容及流程;
3、熟悉Web安全、渗透测试;
4、掌握一门编程语言,能编写简单的一些漏洞poc。
5、文档编写能力强,能高质量的完成项目方案、项目计划、各类项目交付物、项目报告等。
6、有较强的敬业精神,并善于与人沟通,具有良好的团队意识,具有责任心,具有良好的抗压能力,善于处理各类突发事件,善于学习新知识。


【加分项】

1、具有安全服务经验、项目经理等认证证书并具备相应的能力者优先;

2、持CISSP、CISP、ITIL、iso27001 LA 、CCIE、PMP证书者优先;

3、有丰富的CTF经验优先;

4、有丰富的行业经验者优先;


简历投递至:[email protected]

渗透测试工程师

————————

工作地点:成都、昆明

【岗位职责】

1、负责日常安全服务项目的实施工作。
2、负责高端攻防、红队渗透和演练类项目支持工作;


【任职要求】

1、熟悉常见Windows&linux、Web应用和数据库攻击手段;
2、掌握常见的Web安全漏洞原理及利用技术(SQL注入、xss跨站脚本、文件上传、csrf跨站伪造请求、文件包含、越权、SSRF等);
3、熟练使用SQLMAP、BurpSuite、Lcx、Proxifer、Nmap等渗透测试工具。
4、熟悉渗透测试的流程、方法,具有丰富的渗透测试经验。
5、熟悉内网渗透,熟悉域环境,对内网渗透有自己的一些思路和方法。
6、熟悉常见安全漏洞及其安全隐患产生原理,有独立的漏洞挖掘能力。
7、最少熟悉一门编程语言,有安全漏洞利用类工具开发能力;有一定的代码审计能力,可以审计代码进行漏洞挖掘工作。
8、具备良好的报告撰写、团队沟通能力和合作精神;


【加分项】

1、在著名信息安全网站、SRC,发表过安全漏洞或技术文献者优先。

2、有参加CTF、攻防比赛并获得过相应名次的优先。


简历投递至:[email protected]

高级安全咨询顾问

————————

工作地点:成都

【岗位职责】

1.独立完成信息安全服务项目的售前交流、方案编写、招投标等支持工作。
2.负责收集行业动态信息。深入分析行业发展趋势,挖掘行业安全需求,牵头制订政策性、创新型行业安全解决方案。
3.负责根据客户的需求设计安全规划方案、安全建设方案贴合公司产品,并指导落地等。
4.负责对实施人员进行定期的行业方案、行业知识的宣贯培训。
5.负责定期收集、汇总竞争对手信息,并进行深入的对比分析,提出合理的解决方案。


【任职要求】

1.本科以上学历,三年以上信息安全项目实施、售前咨询工作经验。
2.至少熟悉金融、政府、运营商、能源等行业中的一种,熟悉该行业的业务特点、业务需求、相关标准规范、监管要求,对该行业的组织结构、应用系统有深刻理解。
3. 熟悉了解GB/T 31168-2014、GB/T 31167-2014、云计算服务安全能力评估方法、等保2.0 云计算技术的信息系统的扩展安全要求、ISO/IEC27001:2013、GB/T20984等标准。;
4. 具有敏锐的洞察力,较强的数据分析和文档撰写能力;
5. 文笔过硬,较强的沟通能力,灵活的处事方法,能够适应不定期的出差,擅长PPT编写和演示;

【加分项

1.具备CISA/CISSP/ISO27001/PMP/CISP等证书者优先; 

2.具有网络与信息安全体系建设、咨询、审计经验者优先。


简历投递至:[email protected]

五种常见windows安全加固对mimikatz功能的影响

专注渗透测试技术

全球最新网络攻击技术

END

五种常见windows安全加固对mimikatz功能的影响

原文始发于微信公众号(白帽子):五种常见windows安全加固对mimikatz功能的影响

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月29日01:03:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  五种常见windows安全加固对mimikatz功能的影响 http://cn-sec.com/archives/1061934.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: