Mimikatz - использование мастер-ключа

Еще один метод захвата управления доменом, который используется злоумышленниками, известен как использование мастер-ключа.

Злоумышленник может в любое время**маскироваться под любого пользователя с использованием самостоятельно созданного мастер-ключа.

При атаке с использованием мастер-ключа любой пользователь может входить с помощью своего обычного пароля, однако всем учетным записям также присваивается основной пароль.

Новый основной пароль или мастер-ключ дает любому знающему его пользователю открытый доступ к учетной записи.

Атака с использованием мастер-ключа осуществляется путем исправления процесса LSASS.exe на контроллере домена, заставляя пользователей проходить проверку подлинности с помощью типа шифрования более ранней версии.

Воспользуемся мастер-ключом, чтобы увидеть, как работает этот тип атаки:

1. Переместите Mimikatz в ContosoDC, используя полученные ранее учетные данные SamirA. Убедитесь, что вы отправляете mimikatz.exe с правильной архитектурой на основе типа архитектуры контроллера домена (64-разрядная и 32-разрядная). Из папки Mimikatz выполните следующее:

xcopy mimikatz.exe \\ContosoDC\c$\temp

2. С помощью инструмента Mimikatz, который размещен в контроллере домена, удаленно выполните следующий код через PsExec:

PsExec.exe \\ContosoDC -accepteula cmd /c (cd c:\temp ^& mimikatz.exe "privilege::debug" "misc::skeleton" ^& "exit")

3. Вы успешно исправили процесс LSASS в ContosoDC.

Использование LSASS, исправленного с помощью мастер-ключа

На компьютере VictimPC откройте командную строку (в контексте JeffL) и выполните следующее, чтобы попытаться войти в контекст RonHD.

runas /user:ronhd@contoso.azure "notepad"

При появлении запроса специально используйте неправильный пароль. Это действие доказывает, что учетная запись по-прежнему имеет пароль после выполнения атаки.

Однако мастер-ключ добавляет еще один пароль для каждой учетной записи. Выполните команду runas еще раз, но в этот раз используйте mimikatz в качестве пароля.

runas /user:ronhd@contoso.azure "notepad"

Эта команда создает новый процесс, блокнот, выполняемый в контексте RonHD. Мастер-ключ можно создать для любой учетной записи, включая учетные записи служб и учетные записи компьютеров.

Важно!

Очень важно перезагрузить ContosoDC после выполнения атаки с использованием мастер-ключа. Без этого процесс LSASS.exe на ContosoDC будет исправлен и изменен, что приведет к понижению уровня каждого запроса проверки подлинности до RC4.

Обнаружение атаки с использованием мастер-ключа в Defender для удостоверений

Что было обнаружено и о чем было сообщено Defender для удостоверений, пока все это происходило?

Defender для удостоверений был успешно обнаружен подозрительный метод шифрования перед проверкой подлинности, используемый для этого пользователя.

• 🔴 Отказ от ответственности

• 🦋 Слитая информация - @Leakinfo
• 🎭 Наша группа > - Точка входа
• ❤️ Поблагодарить Bitcoin