声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
前言
看了一篇防御讲mimikatz的文章(https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5),感觉行文思路还不错,但是内容稍有不足,国内也有一篇翻译,但是只是照着错误翻译的,所以就萌生了把那篇优秀文章,翻译复现,并加入其它一些内容,本文只是抛砖引玉,文中有错误的话,欢迎吐槽。
mimikatz在渗透中是个很有用的工具。它其中有一个广为人知的功能是让攻击者从内存中读取到明文密码,通常抓到密码之后就可以进行横向移动和提权等操作,进行更进一步的渗透。大家都知道这个工具很厉害,微软肯定也知道了,所以就搞了一些安全防护机制让mimikatz抓不到密码,或者其他干扰攻击者操作的防御措施。
Debug Privilege
一般情况下,只要有本地管理员权限就能从内存中抓出密码。在windows里,调试权限可以用来调试进程。对于mimikatz来说,通常套路来说,他想去读取内存就得获取调试权限,然后去打开进程。默认情况下,本地管理员组是有这个权限的。但是,除非本地管理员是个IT相关从业者,一般他应该用不到这种权限。
本地安全策略是默认给管理员组权限的。
然而,域的默认组策略在这一项是没有定义的。
按照windows策略的效力位阶,最终是管理员组拥有该权限。
(补充下效力位阶:默认情况下,多条策略不冲突的情况下,多条策略是合并的关系;如果冲突的话,优先级高的适用,优先级从低到高为local policy(本地)->site policy(站点)->domain policy(域)->ou policy(组织单元))
不同配置对mimikatz的影响
默认情况下,成功取得调试权限。
把拥有调试权限的组设置为空。注销再次登陆。
运行mimikatz,获取调试权限失败。
WDigest
WDigest协议早在xp时代就已经引入了。当时这个协议设计出来是把明文密码存在lsass里为了http认证的。默认在win2008之前是默认启用的。那么攻击者就能从中获取到明文。
但是在win2008之后的系统上,默认是关闭的。如果在win2008之前的系统上打了KB2871997补丁,那么就可以去启用或者禁用WDigest,配置如下键值:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigest
UseLogonCredential 值设置为 0, WDigest不把凭证缓存在内存;UseLogonCredential 值设置为 1, WDigest就把凭证缓存在内存。
不同配置对mimikatz的影响
启用缓存,可以直接用mimikatz获取到明文
关了缓存之后,重启再抓,什么东西也没抓到,显为null。
Credential Caching
Domain Cached Credentials简称DDC,也叫mscache。有两个版本,XP/2003年代的叫第一代,Vasta/2008之后的是第二代。
计算机在加入域之后就得通过kerberos进行认证,通过kerberos认证就得有域控的参与,但是如果域成员暂时无法访问到域控的话,岂不是无法认证了?域凭证缓存就是为了解决这个问题的。如果暂时访问不到域控,windows就尝试使用本机缓存的凭证进行认证,默认缓存十条。
缓存位置(默认本地管理员也没有权限访问):
HKEY_LOCAL_MACHINESECURITYCache
修改组策略缓存条数为0,即为不缓存。
不同配置对mimikatz的影响
默认配置缓存10条。登陆本地管理员,提权到system权限,然后运行mimikatz,成功抓到mscachev2。
mscache无法直接使用,只能破解出明文再进行使用。可使用hashcat或者john进行破解。
hashcat的hash格式如下(10240是一个固定的值):
john的hash格式为:
sp_farm:41b683f45970280199d1e9e5a4d95825:PTT:ptt.local
设置缓存数为0,停掉域控,然后再登陆域账号。域成员发现无法登陆了。
登陆本地管理员账号,提取到system,然后什么也没抓到。
Protected Users Group
受保护的用户组,可以用来让像本地管理员这样的高权限用户只能通过kerberos来认证。这是在win2012之后引入的一个新的安全组(win2008之前的系统打了KB2871997补丁也会增加这个安全组)。来防止明文存储在内存中和Net-NTLM hash泄露(因为是通过kerberos认证所以也就不会泄露Net-NTLM hash了)。
windows官方的简短介绍,受保护的用户组不能做的事情:
-
不能通过NTLM协议进行认证。
-
不能在kerberos预认证中使用DES或者RC4这种弱加密算法。
-
不能被kerberos委派或者非约束委派。
-
Kerberos TGT默认为4小时,4小时过后就要重新认证。
这个配置起来比较简单。把想要保护的用户加入这个组就行了。
Restricted Admin Mode
通过RDP中间人攻击我们可以获取到登录用户的密码,这证明客户端输入的密码在登录过程中是需要传送到服务端的。受限管理员模式,是一种安全措施,让你的账户不暴露在目标系统里,也就是不会传送可被解密的明文密码。在win8.1/win2012r2(切记是R2)引入。win7/win2008想用这个功能就得打KB2871997、KB2973351。这项功能的使用需要客户端和服务端相互配合。在服务端开启的方法是在注册表添加如下键值。
REG ADD "HKLMSystemCurrentControlSetControlLsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
右键->关于,查看下客户端的版本是不是rdp8.1版本。
潜在风险-RDP PTH
受限管理员模式可以直接用当前登录凭据进行登录,所以这“始终要求凭据”的勾肯定不能勾。
mimikatz命令:
sekurlsa::pth /user:<username> /domain:<comptername or ip> /ntlm:<ntlm hash> "/run:mstsc.exe /restrictedadmin"
domain位置用计算机名或者ip皆可。(需要管理员权限来获取debug权限)
一路确定下去就OK了。
成功把域控上的管理员顶掉了。
看一下流量,是正常的RDP登录:
总结
-
禁止调试权限对获取system的攻击者来说没有任何作用。
-
WDigest默认是禁用的,但是我们手动打开,可以挖个坑等人跳。
-
mscache目前貌似只能用hashcat来破解,破出明文再利用。
-
Protected Users Group特性较多,其对实战的影响,值得再研究。
-
Restricted Admin Mode下pth攻击只能适用于特定版本,限制还是比较多的,不过极端条件下可能会有用。
参考资料
-
https://labs.portcullis.co.uk/tools/freerdp-pth/
-
https://blogs.technet.microsoft.com/kfalde/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2/
-
http://wwwtt0401.blog.163.com/blog/static/361493062012010114020272/
-
https://medium.com/blue-team/preventing-mimikatz-attacks-ed283e7ebdd5
安服西南大区招聘
安全服务部西南大区致力于成都、重庆、昆明等地的安全服务业务支撑,主要提供安全咨询类、安全评价类、安全运维类及平台运营类安全服务业务。拥有专业级安全技术、高效力安全应急、零事故安全保障、持续性安全创新的服务体系,具备完备的安全咨询、渗透测试、代码审计、应急响应、网络安保的服务技术能力。力争和用户共建共享型行业生态,做极致责任的创新者。
安全服务工程师(实习)
————————
工作地点:成都、重庆、昆明
【岗位职责】
1.对网络安全攻防感兴趣,熟练掌握渗透测试技巧、熟练运用各类安全软件、安全测试工具;
2.熟悉渗透测试步骤、方法、流程,熟练使用渗透测试工具;
3.熟悉常见web安全漏洞的原理、测试方法、加固方法;
4.具有较好的文档、报告、方案编写能力;
5.具备优秀的沟通协调能力、学习能力、抗压能力;
【任职要求】
1.开发过相关安全工具、平台、项目优先;
2.在t00ls、freebuf、Seebug等平台发布过技术文章者优先;
3.有web开发经验或熟悉PHP/C#/Java/Python任意一种语言者优先;
4.有CTF、攻防比赛获得奖项者优先;
5..有知名SRC、漏洞平台、CVE、CNVD、CNNVD漏洞提交证明者优先。
6..信息安全专业可放宽要求。
简历投递至:[email protected]
安全服务项目经理
————————
工作地点:昆明
【岗位职责】
1.协助公司销售人员完成安全服务项目的售前技术支持工作;
2.负责客户售前交流沟通工作,并根据客户需求设计解决方案;
3.负责完成安全服务项目的招投标工作,包括标书设计、投标应答、讲解与答疑;
4.跟踪最新行业领域技术相关知识,对于重点行业客户信息安全技术体系进行深入了解;为内部销售人员进行技术培训。
5、日常安全服务项目的实施管理,人员协调。
【任职要求】
1、3年以上信息安全服务相关工作经验;
2.熟悉常见安全服务业务(漏洞扫描、渗透测试、风险评估、安全评估、安全培训、代码审计、应急响应、网络安保等)服务内容及流程;
3、熟悉Web安全、渗透测试;
4、掌握一门编程语言,能编写简单的一些漏洞poc。
5、文档编写能力强,能高质量的完成项目方案、项目计划、各类项目交付物、项目报告等。
6、有较强的敬业精神,并善于与人沟通,具有良好的团队意识,具有责任心,具有良好的抗压能力,善于处理各类突发事件,善于学习新知识。
【加分项】
1、具有安全服务经验、项目经理等认证证书并具备相应的能力者优先;
2、持CISSP、CISP、ITIL、iso27001 LA 、CCIE、PMP证书者优先;
3、有丰富的CTF经验优先;
4、有丰富的行业经验者优先;
简历投递至:[email protected]
渗透测试工程师
————————
工作地点:成都、昆明
【岗位职责】
1、负责日常安全服务项目的实施工作。
2、负责高端攻防、红队渗透和演练类项目支持工作;
【任职要求】
1、熟悉常见Windows&linux、Web应用和数据库攻击手段;
2、掌握常见的Web安全漏洞原理及利用技术(SQL注入、xss跨站脚本、文件上传、csrf跨站伪造请求、文件包含、越权、SSRF等);
3、熟练使用SQLMAP、BurpSuite、Lcx、Proxifer、Nmap等渗透测试工具。
4、熟悉渗透测试的流程、方法,具有丰富的渗透测试经验。
5、熟悉内网渗透,熟悉域环境,对内网渗透有自己的一些思路和方法。
6、熟悉常见安全漏洞及其安全隐患产生原理,有独立的漏洞挖掘能力。
7、最少熟悉一门编程语言,有安全漏洞利用类工具开发能力;有一定的代码审计能力,可以审计代码进行漏洞挖掘工作。
8、具备良好的报告撰写、团队沟通能力和合作精神;
【加分项】
1、在著名信息安全网站、SRC,发表过安全漏洞或技术文献者优先。
2、有参加CTF、攻防比赛并获得过相应名次的优先。
简历投递至:[email protected]
高级安全咨询顾问
————————
工作地点:成都
【岗位职责】
1.独立完成信息安全服务项目的售前交流、方案编写、招投标等支持工作。
2.负责收集行业动态信息。深入分析行业发展趋势,挖掘行业安全需求,牵头制订政策性、创新型行业安全解决方案。
3.负责根据客户的需求设计安全规划方案、安全建设方案贴合公司产品,并指导落地等。
4.负责对实施人员进行定期的行业方案、行业知识的宣贯培训。
5.负责定期收集、汇总竞争对手信息,并进行深入的对比分析,提出合理的解决方案。
【任职要求】
1.本科以上学历,三年以上信息安全项目实施、售前咨询工作经验。
2.至少熟悉金融、政府、运营商、能源等行业中的一种,熟悉该行业的业务特点、业务需求、相关标准规范、监管要求,对该行业的组织结构、应用系统有深刻理解。
3. 熟悉了解GB/T 31168-2014、GB/T 31167-2014、云计算服务安全能力评估方法、等保2.0 云计算技术的信息系统的扩展安全要求、ISO/IEC27001:2013、GB/T20984等标准。;
4. 具有敏锐的洞察力,较强的数据分析和文档撰写能力;
5. 文笔过硬,较强的沟通能力,灵活的处事方法,能够适应不定期的出差,擅长PPT编写和演示;
【加分项】
1.具备CISA/CISSP/ISO27001/PMP/CISP等证书者优先;
2.具有网络与信息安全体系建设、咨询、审计经验者优先。
简历投递至:[email protected]
专注渗透测试技术
全球最新网络攻击技术
END
原文始发于微信公众号(白帽子):五种常见windows安全加固对mimikatz功能的影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论