Главная » Linux

Mimikatz для windows 10

Содержание
  1. Mimikatz
  2. Принцип работы
  3. Перехват пароля
  4. mimikatz
  5. More than a proof of concept
  6. Functionalities
  7. Uses and combinations
  8. A threat
  9. Mimikatz: Извлекаем пароли пользователей Windows из памяти в открытом виде
  10. Хранение паролей и хэшей в памяти Windows
  11. Используем Mimikatz для извлечения паролей пользователей из lsass.exe онлайн
  12. Получение пароля пользователя из дампа памяти Windows
  13. Получение паролей пользователей из файлов виртуальных машины и файлов гибернации
  14. Использование Mimikatz в pass-the-hash атаках
  15. Как защитить Windows от извлечения паролей из памяти через mimikatz?

Mimikatz

Приложение представляет собой инструмент для извлечения и перехвата паролей. Можно просмотреть список активных пользователей и получить ключи в открытом виде.

Mimikatz – приложение для Windows, позволяющее извлечь пароли из дампа памяти или файла гибернации. Для использования программы необходимо иметь права администратора.

Принцип работы

Для обеспечения безопасности паролей операционная система хранит их в виде хешей. Несмотря на то, что существуют специальные приложения для расшифровки, при использовании длинного и сложного ключа у злоумышленников мало шансов подобрать его методом брутфорса. Тем не менее, некоторые службы требуют пароль пользователя в открытом виде. К ним относится сервер проверки подлинности локальной системы безопасности или LSASS.

Данная программа использует уязвимость, связанную с недостаточной безопасностью пароля. Утилита способна извлечь данные из памяти и расшифровать их, получив таким образом ключ в открытом виде.

Перехват пароля

Для использования приложения необходимо выбрать исполняемый файл, соответствующий разрядности операционной системы, и запустить его от имени администратора. Затем следует последовательно ввести команды privilege::debug и sekurlsa::logonPasswords full. После этого на экране появится список активных юзеров и их паролей.

Для перехвата ключа из дампа памяти потребуется утилита PowerShell. Необходимо запустить терминал и ввести Get-Process lsass | Out-Minidump. После этого файл с расширением DMP будет сохранен в системной папке. Затем его следует перенести на другой компьютер и выполнить команду sekurlsa::minidump, указав в качестве аргумента имя дампа. Далее следует ввести sekurlsa::logonPasswords, после чего утилита отобразит список логинов и паролей.

mimikatz

User rating User Rating

Mimikatz is an open-source tool used for obtaining account information from operating systems and software. It’s one of the most prominent dangers to Windows security to date.

More than a proof of concept

Benjamin Delpy developed Mimikatz as proof of concept for Microsoft, showing that security protocols were vulnerable. Posting it on Github made the program explode, becoming one of the most-used hacking tools out there.

Mimikatz isn’t a virus, but it can help create viruses. It lets developers think of more powerful, comprehensive ways to protect Windows networks. However, hackers use it just as much.

Functionalities

When it first launched, Mimikatz showed how it’s possible to exploit singular vulnerabilities in the authentication system of Windows devices. It grew since, and today, it demonstrates various weaknesses in 32-bit/64-bit systems.

Primary functions include pass-the-hash and pass-the-ticket, serving to steal credentials on older and newer systems. It can also over-pass the hash/key to more authentically impersonate accounts.

More modern features incorporate Kerberos Golden and Silver Ticket for hacking into hidden accounts. Pass-the-Cache performs the same attacks on Mac, Linux, and UNIX systems.

Читайте также:  64 bit windows memory support

Uses and combinations

By stealing account login and password data, Mimikatz lets hackers access restricted information on people’s profiles. Its primary purposes include attacking Windows clients and extracting data.

Hackers can add two additional components to the programme and make it even more powerful. Mimidrv is a driver that interacts with the Windows kernel. Mimilib is a bypass system for app lockers, authentication packages, and a password filter.

Luckily, using this programme requires access to a physical computer. Many new Windows updates deal with vulnerabilities Mimikatz seeks to exploit, such as it not shutting down correctly.

Running Mimikatz requires clicking the ‘Run as Administrator’ function, even if you’re logged into an Admin Account. Once launched, it shows you a console where you can enter commands in real-time.

A threat

Mimikatz is a dangerous tool that made its way to the most fatal, global ransomware worms. Even if it helps make systems more risk-proof, it’s a powerful hacking utility.

Mimikatz: Извлекаем пароли пользователей Windows из памяти в открытом виде

В этой статье, написанной в рамках серии статьей, посвященной обеспечению безопасности Windows-систем (в последний статье мы обсуждали вопросы безопасности паролей, хранимых в GPP) , мы познакомимся с достаточно простой методикой получения в открытом виде паролей всех пользователей, работающих в Windows-системе с помощью Open Source утилиты Mimikatz.

Хранение паролей и хэшей в памяти Windows

Большинство системных администраторов пребывают в уверенности, что Windows не хранит пароли пользователей в открытом виде, а только в виде его хэша. И хотя на сегодня существует большое количество утилит, способных извлечь хэши пользовательских паролей из системы, можно с определенной уверенностью сказать, что при использовании достаточно сложного пароля не «из словаря», у злоумышленника практически нет шансов подобрать его прямым брутфорсом или по базе уже рассчитанных хэшей.

В принципе, это так, но есть различные нюансы, касающиеся пользователей, залогиненых в конкретной системе Windows. Дело в том, что некоторые системные процессы в своих служебных целях все-таки используют пароли пользователей в открытом (или зашифрованном) виде, а не их хэши.

Так, например, механизм дайджест-аутентификации (HTTP Digest Authentication), используемый для поддержки SSO (Single Sign On), для своей работы требует знания вводимого пароля пользователя, а не только его хеша (о том, почему разработчиками это было реализовано именно так, можно только догадываться). Пароли (именно пароли, а не их хэши) пользователей в зашифрованном виде хранятся в памяти ОС, а если быть более точным в памяти процесса LSASS.EXE. Проблема в том, что шифрование паролей реализовано с помощью стандартных Win32 функций LsaProtectMemory и LsaUnprotectMemory, которые предназначены для шифрования/расшифровки некоторого участка памяти. Утилита французских разработчиков mimikatz позволяет получать зашифрованные данные из памяти и расшифровывать их с помощью функции LsaUnprotectMemory, позволяя вывести на консоль все учетные записи пользователей, авторизованных в системе, и их пароли (в открытом, уже расшифрованном виде!). Для эксплуатации уязвимости атакующий должен иметь возможность присоединить специальную библиотеку к процессу lsass.exe.

Читайте также:  Linux как замена microsoft office

Скачать утилиту mimikatz можно тут: http://blog.gentilkiwi.com/mimikatz

Утилита mimikatz позволяет извлечь пароли пользователей непосредственно из памяти ( путем инъекции в lsass .exe библиотеки sekurlsa .dll ), из сохраненного дампа памяти компьютера или даже из файла гибернации.

Используем Mimikatz для извлечения паролей пользователей из lsass.exe онлайн

  • Скачайте и запустите Mimikatz.exe с правами администратора (есть x86 и x64-версии утилиты для соответствующих систем)
  • В контексте утилиты выполните команды

mimikatz # privilege::debug
mimikatz # sekurlsa::logonPasswords full
(последняя команда для все активных пользователей в системе отобразит имена учетных записей и их пароли).

Как вы видите, утилита показала нам суперсложный пароль пользователя user в открытом виде! Все это благодаря тому, что на данном компьютере разрешено использовать режим отладки, выставляя флаг SeDebugPrivilege для нужного процесса. В этом режиме программы могут получать низкоуровневый доступ к памяти процессов, запущенных от имени системы.

Представьте себе, что это терминальный сервер, на котором одновременно работают множество пользователей, и на котором есть в том числе сессия администратора предприятия. Т.е. при наличии прав администратора на одном единственном сервере можно даже перехватить пароль администратора домена.

Получение пароля пользователя из дампа памяти Windows

Дамп памяти для процесса LSASS можно получить с помощью PowerShell функции Out-Minidump.ps1 . Импортируйте функцию Out-Minidump в PoSh и создайте дамп памяти процесса LSASS:

Получившийся дамп памяти, в нашем примере это lsass_592.dmp (по умолчанию он сохраняется в каталоге %windir\system32%), нужно скопировать на другой компьютер, в которой имеется утилита mimikatz и выполнить команду:

И следующей командой получим из сохранённого дампа памяти список пользователей, работающих в системе и их пароли:

Как вы видите, ничего сложного.

Таким способом можно получить дамп памяти с удаленного компьютера с помощью psexec или через WinRM (при наличии прав администратора) и извлечь из него пароль пользователя.

Получение паролей пользователей из файлов виртуальных машины и файлов гибернации

Идем дальше. С помощью простых манипуляций злоумышленник может легко извлечь пароли пользователей из файлов дампов памяти, файла гибернации системы (hiberfil.sys) и. vmem файлов виртуальных машин (файлы подкачки виртуальных машин и их снапшоты).

Для этого понадобится пакет Debugging Tool for Windows (WinDbg), сам mimikatz и утилита преобразования .vmem в файл дампа памяти (для Hyper-V это может быть vm2dmp.exe или MoonSols Windows Memory toolkit для vmem файлов VMWare).

Например, в случае необходимости преобразовать файл подкачки vmem виртуальной машины VMWare в дамп, выполним команду:

Полученный дамп загружаем в WinDbg (File -> Open Crash Dump), загружаем библиотеку mimikatz с именем mimilib.dll (версию выбрать в зависимости от разрядности системы):

Ищем в дампе процесс lsass.exe:

И наконец, набираем:

и получаем список пользователей Windows и их пароли в открытом виде.

Получение паролей пользователей Windows в открытом виде с помощью утилиты Mimikatz работает на следующих системах, в том числе запущенных на гипервизорах Hyper-V 2008/2012 и VMWare различных версий:

  • Windows Server 2008 / 2008 R2
  • Windows Server 2012/ R2
  • Windows 7
  • Windows 8
Читайте также:  Windows 10 enterprise ltsb x64 rus 1607 оригинальные образы от microsoft

Использование Mimikatz в pass-the-hash атаках

В том случае, если не удается получить пароль пользователя, а только его хеш, Mimikatz можно использовать для так называемой атаки pass-the-hash (повторное использованиу хэша). В этом случае хэш может использовать для запуска процессов от имени пользователя. Например, получив NTLM хэш пользователя, следующая команда запустит командную строку от имени привилегированного аккаунта:
sekurlsa::pth /user:Administrator /domain:CORP /ntlm: /run:cmd

Как защитить Windows от извлечения паролей из памяти через mimikatz?

В Windows 8.1 и Server 2012 R2 (и выше) возможности по извлечению паролей через LSASS несколько ограничены. Так, по-умолчанию в этих системах в памяти не хранятся LM хэш и пароли в открытом виде. Этот же функционал бэкпортирован и на более ранние версии Windows (7/8/2008R2/2012), в которых нужно установить специальное обновление KB2871997 (обновление дает и другие возможности усилить безопасность системы) и в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest установить параметр DWORD реестра UseLogonCredential равным 0 (WDigest отключен).

Если после установки обновления и ключа UseLogonCredential попробовать извлечь пароли из памяти, вы увидите, что mimikats с помощью команды creds_wdigest не сможет извлечь пароли и хэши.

Однако при наличии прав администратора вы сможете легко изменить этот ключ:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

После этого вы опять сможете получить доступ к паролям в памяти LSA.

В инструментарии mimikatz есть и другие инструменты получения паролей и их хэшей из памяти (WDigest, LM-hash, NTLM-hash, модуль для захвата билетов Kerberos), поэтому в качестве рекомендаций рекомендуется реализовать следующие меры:

  • Запретить хранить пароли с использование обратимого шифрования (Reversible Encryption)
  • Отключить NTLM
  • Запретить использование сохранённых паролей в Credential Manager
  • Запретить кэшировать учетные данные доменных пользователей (ключ CachedLogonsCount и политика Interactive logon: Number of previous logons to cache)
  • Если функциональный уровень домена не ниже Windows Server 2012 R2, можно добавить учетные записи администартороав в специальную группу Protected Users

При тестировании mimkatz в Windows 10 Pro x64 с настройками утилита mimkatz 2.0 смогла получить хэши пароля активного пользователя (но не пароль в открытом виде).

На более старых системах нужно в качестве временного решения нужно ограничить получение привилегии debug и отключить поставщика безопасности wdigest через реестр. Для этого в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa найдите ключ Security Packages и удалить из списка пакетов строку wdigest. Однако нужно понимать, что атакующему, при наличии соответствующих прав на реестр, не составит труда вернуть настройки обратно.

Выводы. Еще раз напоминаем прописные истины:

  • Не стоит использовать одинаковые пароли для разных сервисов (особенно терминальных, находящихся во владении третьих лиц).
  • Задумайтесь о безопасности ваших паролей и данных, находящихся на виртуальных машинах в облаках, ведь вы не можете быть уверенными в том, у кого еще имеется доступ к гипервизорам и хранилищу, на котором расположены файлы виртуальных машины.
  • Минимизируйте в своих системах количество учетных записей, обладающих правами локального администратора (см. гайд об организации защиты учетных записей администраторов в среде Windows)
  • Никогда не заходите с учетной записью администратора домена на сервера и компьютеры, доступные другим пользователям
Оцените статью
© 2024 Советы по настройке компьютера