Mimikatz kínál lemondani
Elemezni a következő vsopropalcheskoe-admin a közüzemi mimikatz
Ennek során a legutóbbi támadások zsarolás vírus Petit elég figyelmet fordítottak az új, hiszen WannaCry, payload'u a vírust. Sőt, az új kártevők üzemeltetett hatalomátvétel a helyi gépen nem egy, hanem egy egész sor biztonsági rések - vonatkozó nemcsak a Windows operációs rendszer, hanem például a Microsoft Office csomagot.
Különös figyelmet vonzott az egyik összetevője - az úgynevezett mimikatz.
Ez a modul tulajdonított igazán csodálatos lehetőséget, idézi az aranykor linukssoobschestv pszichés tehetséges középiskolás diákok, és az a fajta szakértői vélemény:
Vendian karoch egyetlen csomagban hozza átvágja a tűzfal, hacsak a Lin működik
Reakció adminstvuyuschego Windows közösség vallja a vallás minden alapértelmezés szerint telepített MS mondani, és hagyjuk, hogy a munka, így nem ül szárnyalt, és ha ez - így mindent meg kell csak perenakatit a semmiből, vagy ha a legügyesebb, vagy valami. Azonban, mivel a nulla közeli megértését anyag, szintén nem különösebben megkülönböztetni:
Mimikats kínál lemondani?
Mi mimikatz
Figyelembe vesszük elérhető idején ezt az írást, 2.1.1 verzióját, és megelégszünk a kidolgozása a kérdés az, hogy a funkcionalitás vonatkozik Petya.A (LCO) vírus. Azaz, nem írunk egy tankönyv az alkalmazás mimikatz.
Műszaki vizsgálat oldala
Mimikatz - rögzítés hibakeresés jogosultságokat
Ahhoz, hogy végre valami tetteik mimikatz tartja a „capture” debug jogosultságokat. Emiatt kaphat alacsony szintű hozzáférést a folyamatokat, amelyek a rendszeren futó számlák (LocalSystem, más néven a rendszerben, NT 5.1 osztott opciók LocalService / NetworkService).
A felület a művelet végrehajtása kiváltság :: debug parancs. esetén sikeres a visszavonás Privilege „20” OK. meghibásodás esetén - Megjegyzés: ERROR kuhl_m_privilege_simple; RtlAdjustPrivilege (20) c0000061.
Megelőzés lehetőséget hibakeresés
Alapértelmezés szerint a helyi biztonsági házirend, például az alapértelmezett tartományi házirend hibakereső kiváltság kiadott csoport BUILTIN \ Rendszergazdák. Kiadott - ez azt jelenti, hogy a folyamat fut a felhasználói munkamenet, amelyben a marker egy SID-csoport, kérheti „Azt akarom, hogy debug”, és hogy ezt a kicsit vonal „kiváltságokat” az ő hozzáférési token (abban az esetben, az UAC - mint a klasszikus változat ennek bit jelenik meg a token után azonnal a bejelentkezési eljárás).
Ez feltétlenül egy „default” beállítás káros, mert valójában hibakeresés kiváltság hagyományos alkalmazások nem használják. Sőt, még a fejlesztők szükséges rendkívül ritka esetben - mivel még hibakereső alkalmazás fut a számla, nem hibakereső kiváltság a Windows platformon. Ez azt jelenti, fejlesztése alkalmazás vagy menedzselt kód-alkalmazások is könnyen végezni anélkül, hogy ezt a kiváltságot. Erre azért van szükség - még egyszer - csak forgatókönyv „egy bizonyos felhasználói igények hibakereső rendszer feldolgozza.”
Ráadásul - még ha szükséges, a programozó csak debug rendszer szolgáltatás, de a másik csomópont - lehetőség van kernel Secure Mode hibakeresés. amelyben a programozó hibakeresés, hanem a rendszer, amely csatlakoztatva van, ez a kiváltság nem kap.
Döntse a helyzet egyszerű - csoport politika (ha a domaint), illetve a helyi (abban az esetben az önálló rendszer) hozzá az újonnan létrehozott csoport, tagság, amely azt jelenti, hogy ez egyértelműen megadott számlára, akkor használja ezt a kiváltságot. Nem számít, milyen munkát nem szoftver nem fogja érinteni egyáltalán - nincs teljes idejű üzleti szoftver, amely nem tud a feladataikat nem haladnak NT kernel hibakereső. De itt van a rendszergazdák -, hogy a helyi, hogy a domain - ami a jogok, amelyeket a logika „csináljuk gendira vállalati adminom, aztán hirtelen valami nem működik” - elég.
A screenshot - helyi politika egy DC, így, hogy felülbírálja a jogot, hogy azt nem fogom, mindegy beállítás le lesz tiltva domainházirend. Az eredmény így fog kinézni:
Most mimikatz kap debug jogosultsággal:
Ugyanakkor mi maradt, és a helyi rendszergazda és tagja a tartományi rendszergazdák csoport és a Vállalati rendszergazdák. Mi lehet elvégezni az összes ugyanazt a (bármilyen) és az Active Directory feladatokat.
Mimikatz - kap hozzáférést a különböző hitelesítési információ
A Windows kompatibilitási okokból - és nem csak a régebbi Windows, hanem harmadik fél technológiák (például a kapcsolódást a PPP-protokoll használhatja a klasszikus CHAP) tárolható több lehetőséget a felhasználó jelszó hash.
Ez a lista tartalmazza az alábbi elemeket:
- Sima szöveg - titkosított jelszavakat.
- WDigest - jelszó után CHAP / MD5-átalakítás.
- LM-hash - hash a régi LanManager.
- NTLM-hash - hash NTLM és Kerberos.
Mimikatz eltávolítja hash és mandátumát dolgozó Lsass csapat lsadump :: LSA / neve: Adminisztrátor / injekciót:
Sok terheletlen, igen.
Kezdjük azokkal a lehetőségekkel, amelyek a modern operációs rendszerek, és hogy a legegyszerűbb módja, hogy azonnal elkezdi használni az otthoni és az önálló rendszerek.
Védelem LSASS kapcsolatok harmadik fél modulok
Ez az üzemmód csak - egy ága a registry HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa értéket teremt RunAsPPL DWORD32 típusú, és egy lesz.
A sikeres kezelés a System-magazin WinInit személy lesz egy eseményt:
Lsass.exe indult, mint egy védett folyamat szintjei: 4
Munkavégzés LSASS védett módban nem fogja betölteni az aláíratlan dugó. Ha nem használjuk, akkor hatékonyan letiltja az alapvető lehetőségét is kap a jogot, hogy a helyi rendszer RAM LSA folyamat. De légy óvatos, ha használni:
Mindegyikük kiválasztása után kapcsolva, akkor alá kell írnia, vagy a Microsoft, vagy akkor nem lehet betölteni, és a naplók lesz 3033 és 3036 eseményeket.
Most beszéljünk arról, hogyan lehet megszabadulni a létezését a felesleges összegeket.
Számának csökkentése tárolt hitelesítő opciók
Hogyan lehet megszabadulni a régi LM-hash, írtam egy külön cikket a LM és NTLM. úgyhogy nem ismétlem.
Ha nem használja megemészteni hitelesítést, akkor explicit módon megmondani a rendszernek, hogy nem vesz részt ebben a nonszensz a részét a termelés és tárolás ezeket.
Még ha az emésztés, és néha szükség lehet, csak a felhasználó lesz nagyobb valószínűséggel lehet kérni a bejelentkezési adatokat - vagyis ez a beállítás letiltja a cache-be a RAM, nem pedig az egész mechanizmus kivonatot. HTTP-források, akiknek szükségük van egy ilyen módszer továbbra is rendelkezésre áll.
Ha aggódik, hogy van egy olyan rendszer lefolytatása hitelesítési következetesen módszerek harmonizálása, és ez a rendszer is olyan „dosoglasovatsya”, hogy WDigest - ugyanabban a szellemben, a HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ WDigest az érték tárgyalni. Túl DWORD32. amely kifejezetten nullázódik, majd minden variáció nem tárgyal a keresési módszerek WDigest.
reverzibilis titkosítás
Az Active Directory tároló CHAP-szerű adatok (valójában - a titkosított titkosítatlan jelszavak) keresztül valósítható meg a további biztonsági attribútuma principal'a. Akkor kifejezetten mondani, hogy ez még soha nem történt - erre a beállításnál csoportházirend:
Egy ilyen konfiguráció, és minden felhasználói fiókot, de a könnyebb kikapcsolni világszerte.
Eredmény - jelentősen rövidítve „állatállomány” fel nem használt és a kiszolgáltatott módon bemutatni hitelesítési adatokat.
Automatikus gyorsítótár törlése nemrég ment számlák
Ha a biztonsági igazgató megállt ülésén a rendszerben, a megbízólevelét élni egy ideig. Ez nem hiba - szükség van a script „futtatni egy műveletet, és leállt.”
Az idő, amely alatt a memóriában Lsass élő hitelesítő éppen befejezett egy munkamenet felhasználói fiókok, személyre szabhatja.
A ághoz HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ paraméter TokenLeakDetectDelaySecs. Ismét írja DWORD32. Pecsételő neki egy kis érték (például 10 másodperc) otsechot lehetőséget osztály „feltört fájl vagy RDP-szerver és kivett Lsass folyamat valamennyi adat az összes csatlakoztatott és offline állapotban is NTLM-hash próbálja támadni a” támadások.
Most, téves feltételezéseket mimikatz.
Mimikatz -, arany vagy ezüst Ticket Kerberos
Egyes „szakértők” hamisan nyilatkozott, hogy Petya.A (LCO) vírus képes „megtörni az Active Directory tartományhoz a lyukon Golden Ticket”.
Nem - ez nem egy lyuk, és az Active Directory, és hogy a vírus nem, és mimikatz lehet próbálni.
Nyilvánvaló, hogy ez szükséges, hogy az alábbi feltételek listája:
- Meg kell tudni, hogy a jelszót a RID 502 fiók krbtgt. rendelkezésre álló néhány nem írásvédett (mert az írásvédett mindenkit krbtgt).
- Szükségünk helyi rendszergazdai jogokkal a DC.
- Nem kellene Kerberos preautentifikatsiya.
Mint látható, ez nem annyira egyértelmű - különösen az a tény, hogy miért tegyünk valamit törni, ha egy admin a tartományvezérlő.
Most egy kicsit a csodaszer.
Használata Védett Felhasználók
Egy jelentős pillanat az egész körüli hype Petya.A (LCO) - egy gyors keresés a csodaszer. Különben is, valamilyen oknál fogva, nem veszik figyelembe a nagyon gyors és egyszerű módszerek - például a jogot arra, hogy megfelelően a tartományon belül, és tegye a kritikus biztonsági javítások révén ésszerű időn után szabadulnak fel. Egyszerűen várjon az arany golyó, amely megoldja az összes problémát. Ahhoz, hogy a helyzet ebben az esetben „szakértői közösség” sebtében kijelölt módszertan „csak hozzá az összes felhasználó számára a Védett felhasználók és gőz nem.”
Egy ötlet, hogy mi tesz egy csoportja Védett felhasználók - tulajdonképpen magában foglalja az egész csomagot, és a már meglévő biztonsági technológiák - áll a cikkben a LM és NTLM - mindegyik technológiák megvannak a maga előnyei és hátrányai, a mellékhatások és funkciók, így a megközelítés „egyszeri díj nyomjon meg egy külön gomb csinálni mindent jól „ebben az esetben illusztráció.
Legyen okosabb - nem felületesen tanulmányozza a technológia, és komolyan. Ez elcsépelt hatékony idő- és a kapott személyes kényelem.
Mivel ebben az esetben például, amikor létrehozzák az illetékes politikus (nem debug neve jogosultságokat minden adminisztrátorok) lehet 18 egymást követő évben, hogy így nem ad semmilyen lehetőséget, hogy támadás által leírt mimikatz.