La opción /netonly del comando runas se
utiliza para lanzar un programa como un usuario que existe en una
máquina remota. El sistema acepta el nombre y la contraseña para ese
usuario remoto y crea un token de autenticación en la memoria de su
proceso LSASS sin ninguna interacción con el host remoto.
¿Qué pasa si ejecutamos el siguiente comando en nuestro equipo Windows?
El comando que se ejecuta en realidad no tiene ningún acceso elevado en la máquina y la contraseña no es válida, evidentemente no es una amenaza para Microsoft. Windows no intenta autenticarse en el dominio Microsoft.com para iniciar el proceso. Asume que las credenciales son correctas, calcula el hash y lo almacena en la memoria para su uso futuro.
Más adelante, si se intenta acceder a un recurso en ese dominio, automáticamente se "pasará el HASH" al sistema remoto para entrar. Pero hasta que se intente acceder al host remoto, las contraseñas se quedan almacenadas en memoria.
¿Qué significa eso? Pues que podemos "inundar" nuestro sistema de credenciales falsas para ponérselas enbandeja memoria a un atacante. Por ejemplo:
Es es el resultado de nuestros "Honey Hash Tokens" (ver también honeytoken). Cualquiera que utilice mimikatz, meterpreter, procdump.exe u otra herramienta para robar las contraseñas en memoria podrá llevarse a engaño. Evidentemente herramientas que obtienen los hashes en disco como hashdump no funcionarán.
Pero ahí está la idea: elegir un nombre de usuario creíble y que parezca que tenga privilegios elevados en el dominio, generar las credenciales falsas en la memoria de los servidores que están más en el punto de mira (por ejemplo los de la DMZ) y preparar alertas en la red para avisarnos de intentos de uso de estas cuentas falsas.
¡Buena caza!
Fuente: Detecting Mimikatz Use On Your Network
¿Qué pasa si ejecutamos el siguiente comando en nuestro equipo Windows?
runas /user:microsoft.com\administrator /netonly cmd.exe
El comando que se ejecuta en realidad no tiene ningún acceso elevado en la máquina y la contraseña no es válida, evidentemente no es una amenaza para Microsoft. Windows no intenta autenticarse en el dominio Microsoft.com para iniciar el proceso. Asume que las credenciales son correctas, calcula el hash y lo almacena en la memoria para su uso futuro.
Más adelante, si se intenta acceder a un recurso en ese dominio, automáticamente se "pasará el HASH" al sistema remoto para entrar. Pero hasta que se intente acceder al host remoto, las contraseñas se quedan almacenadas en memoria.
¿Qué significa eso? Pues que podemos "inundar" nuestro sistema de credenciales falsas para ponérselas en
mimikatz # privilege::debug
Privilege '20' OK
mimikatz # sekurlsa::logonPasswords full
Authentication Id : 0 ; 3420125 (00000000:002c38b2)
Session : NewCredentials from 0
User Name : usuario
Domain : dominio
SID : S-1-5-21-2342468007-2769232512-6969471351-1000
msv :
[00000003] Primary
* Username : administrator
* Domain : microsoft.com
* NTLM : d139627ea1a54be9b04f2158a4d10b93
* SHA1 : 2c19cfd8f7a112f29a7183e8ed4db7e68e714049
tspkg :
wdigest :
* Username : administrator
* Domain : microsoft.com
* Password : falsa
kerberos :
* Username : administrator
* Domain : microsoft.com
* Password : falsa
ssp :
credman :
Es es el resultado de nuestros "Honey Hash Tokens" (ver también honeytoken). Cualquiera que utilice mimikatz, meterpreter, procdump.exe u otra herramienta para robar las contraseñas en memoria podrá llevarse a engaño. Evidentemente herramientas que obtienen los hashes en disco como hashdump no funcionarán.
Pero ahí está la idea: elegir un nombre de usuario creíble y que parezca que tenga privilegios elevados en el dominio, generar las credenciales falsas en la memoria de los servidores que están más en el punto de mira (por ejemplo los de la DMZ) y preparar alertas en la red para avisarnos de intentos de uso de estas cuentas falsas.
¡Buena caza!
Fuente: Detecting Mimikatz Use On Your Network
Fuente: http://www.hackplayers.com/2015/02/detectar-el-uso-de-mimikatz-en-la-red.html
No hay comentarios:
Publicar un comentario