Источник: https://github.com/AnaktaCTF/CTF/blob/main — PWN/Credential_Dumping.md

Оглавление

• Введение
• Почему Credential Dumping опасен?
• Где хранятся учетные данные?
• Какие инструменты используются?
• Методы Credential Dumping
  • Извлечение хешей паролей из SAM
  • Дамп памяти LSASS
  • DCSync-атака
  • Pass-the-Hash (PTH)
  • Использование LaZagne для извлечения учетных данных
  • Извлечение учетных данных из /etc/shadow в Linux
• Методы защиты от Credential Dumping
  • Защита файлов SAM и SYSTEM
  • Защита процесса LSASS
  • Защита от DCSync атак
  • Применение принципа наименьших прав
  • Многофакторная аутентификация (MFA)
  • Шифрование данных
  • Контроль доступа и мониторинг
  • Использование Application Whitelisting
• Примеры реальных атак
• Технические особенности эксплуатации
• Заключение
• Ссылки и ресурсы

---

Введение

Credential Dumping (добыча учетных данных) представляет собой одну из наиболее распространенных техник, используемых злоумышленниками для получения доступа к системе с использованием украденных учетных данных. Процесс включает в себя извлечение паролей, хэшированных данных и других аутентификационных данных из различных источников, таких как операционная система, приложения или сетевые устройства. Эти данные часто становятся ключевыми для дальнейших атак, включая эскалацию привилегий и перемещение по сети.

Методы Credential Dumping могут быть выполнены с использованием ряда инструментов, таких как Mimikatz, Meterpreter и других, которые используют уязвимости в операционных системах Windows или других сервисах аутентификации для извлечения данных. Учитывая серьезность угрозы, важно понимать, как работает этот процесс, какие данные могут быть скомпрометированы и какие меры защиты необходимо применять для предотвращения атак.

В этой статье мы рассмотрим основные механизмы и инструменты, используемые для Credential Dumping, а также обсудим методики защиты от данной угрозы, такие как использование многофакторной аутентификации, защита учетных данных и мониторинг аномальных действий в сети.

Почему Credential Dumping опасен?

1️⃣ Получение административного доступа (эскалация привилегий)

Credential Dumping позволяет атакующему:

• Извлекать пароли и хэши учетных записей.
• Использовать Pass-the-Hash (PtH) атаку для аутентификации без пароля.
• Получать административные привилегии через Golden Ticket и Silver Ticket.

Опасность: Злоумышленник может полностью контролировать корпоративную сеть.

---

2️⃣ Быстрое распространение внутри сети (Lateral Movement)

После получения учетных данных атакующий может:

• Подключаться к другим машинам через RDP, WinRM, SMB, WMI.
• Использовать Pass-the-Ticket (PtT) атаку для кражи Kerberos-токенов.
• Атаковать сервисные учетные записи (secretsdump.py).

Опасность: Один взломанный компьютер может привести к компрометации всей сети.

---

3️⃣ Доступ к конфиденциальной информации

Атакующий может войти в:

• Почтовые серверы (Exchange, Office 365, Gmail).
• Базы данных (SQL, Oracle, PostgreSQL).
• Системы документооборота (SharePoint, 1С, SAP).
• Удаленные серверы и облака (AWS, Azure, Google Cloud).

Опасность: Утечка корпоративных данных и финансовые потери.

---

4️⃣ Не требует взлома паролей

Credential Dumping извлекает уже существующие учетные данные, а не подбирает пароли.

Опасность:

• Атака проходит быстро.
• Антивирусы редко обнаруживают работу с хэшами.
• Можно атаковать сразу несколько учетных записей.

---

5️⃣ Сложность обнаружения

Credential Dumping трудно детектировать, так как:

• Использует легитимные системные процессы (lsass.exe).
• Часто выполняется в памяти (Mimikatz, PowerShell, Cobalt Strike).
• Легко скрывает следы в логах.

Опасность: Злоумышленник может долго оставаться незамеченным.

---

Где хранятся учетные данные?

💻 Windows

1️⃣ LSASS (Local Security Authority Subsystem Service)

Путь: C:\Windows\System32\lsass.exe

Что хранит?:

• Хэши NTLM
• Kerberos-токены
• Пароли в открытом виде (если RunAsPPL=0)

🔍 Как атакуют?: Mimikatz, дамп процесса LSASS.

✅ Защита: Включить Credential Guard, LSA Protection.

---

2️⃣ SAM (Security Account Manager)

Путь: C:\Windows\System32\config\SAM

Что хранит?: Локальные учетные записи, NTLM-хэши.

🔍 Как атакуют?: reg save HKLM\SAM, secretsdump.py.

✅ Защита: Ограничить доступ, использовать BitLocker.

---

3️⃣ NTDS.dit (Active Directory)

Путь: C:\Windows\NTDS\NTDS.dit

Что хранит?: Все учетные записи домена, NTLM-хэши.

🔍 Как атакуют?: ntdsutil, mimikatz, secretsdump.py.

✅ Защита: Ограничить доступ, включить LDAP Signing.

---

4️⃣ Web Credentials (Хранилище паролей Windows)

Путь: %AppData%\Microsoft\Credentials\

Что хранит?: Сохраненные пароли для сайтов и RDP.

🔍 Как атакуют?: cmdkey /list, VaultCmd.exe.

✅ Защита: Отключить автосохранение паролей.

---

🐧 Linux

1️⃣ /etc/shadow

Путь: /etc/shadow

Что хранит?: Хэши паролей пользователей (SHA-512, bcrypt).

🔍 Как атакуют?: John the Ripper, hashcat.

✅ Защита: Ограничить доступ (chmod 600 /etc/shadow).

---

2️⃣ SSH-ключи

Путь: /home/user/.ssh/id_rsa

Что хранит?: Приватные SSH-ключи.

🔍 Как атакуют?: Кража файлов, атаки на ssh-agent.

✅ Защита: Использовать парольную фразу.

---

🌍 Браузеры

1️⃣ Google Chrome

Путь: C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Login Data

Что хранит?: Пароли от сайтов.

🔍 Как атакуют?: sqlite3, вредоносные расширения.

✅ Защита: Отключить автосохранение паролей.

---

2️⃣ Mozilla Firefox

Путь: C:\Users\%USERNAME%\AppData\Roaming\Mozilla\Firefox\Profiles\

Что хранит?: Логины и пароли для сайтов.

🔍 Как атакуют?: firepwd, анализ logins.json.

✅ Защита: Включить мастер-пароль.

---

🏢 Корпоративные системы

1️⃣ Active Directory (NTDS.dit)

Хранит: учетные записи всех пользователей домена.

Методы атак: ntdsutil, mimikatz, secretsdump.py.

✅ Защита: Ограничить доступ, использовать Kerberos + MFA.

2️⃣ 1С, SAP, Oracle

Хранит: учетные записи пользователей, доступы к базам данных.

Методы атак: Извлечение паролей из конфигурационных файлов.

✅ Защита: Использовать шифрование, строгую политику паролей.

---

Какие инструменты используются?

1️⃣ Mimikatz

Описание: Один из самых мощных инструментов для атак на аутентификацию в Windows. Позволяет извлекать пароли в открытом виде, NTLM-хэши, Kerberos-токены, сертификаты и другие учетные данные. Также поддерживает атаки Pass-the-Hash, Pass-the-Ticket и OverPass-the-Hash.

Разработчик: Benjamin Delpy.

Команды:

mimikatz.exe
privilege::debug
sekurlsa::logonpasswords
lsadump::sam
lsadump::dcsync /domain:example.local /user:Administrator

✅ Вывод: Извлекает учетные данные из памяти процесса LSASS.

---

2️⃣ secretsdump.py (Impacket)

Описание: Python-скрипт из пакета Impacket, предназначенный для удаленного извлечения NTLM-хэшей из SAM, LSASS и NTDS.dit на серверах Active Directory. Работает без загрузки вредоносного кода на целевую систему.

Разработчик: SecureAuthCorp.

Команды:

pip install impacket
secretsdump.py -sam LOCAL
secretsdump.py DOMAIN/Administrator:P@ssword123@192.168.1.10

✅ Вывод: NTLM-хэши учетных записей, которые могут быть использованы для атаки Pass-the-Hash.

---

3️⃣ LaZagne

Описание: Инструмент пост-эксплуатации, предназначенный для извлечения паролей из различных программ, включая браузеры (Chrome, Firefox, Edge), почтовые клиенты (Outlook, Thunderbird), мессенджеры, базы данных и Wi-Fi-сети.

Разработчик: Alessandro Zanni.

Команды:

lazagne.exe all
lazagne.exe browsers

✅ Вывод: Извлекает логины и пароли, сохраненные в системе.

---

4️⃣ ProcDump (Sysinternals)

Описание: Легальный инструмент Microsoft Sysinternals, предназначенный для снятия дампов памяти процессов. Используется злоумышленниками для создания дампа LSASS.exe, который затем анализируется с помощью Mimikatz для извлечения учетных данных.

Разработчик: Microsoft.

Команды:

procdump.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

✅ Вывод: Позволяет получить учетные данные из дампа памяти процесса LSASS.

---

5️⃣ WMI Dumping

Описание: Использование Windows Management Instrumentation (WMI) для выполнения удаленного дампа памяти LSASS.exe без загрузки дополнительных инструментов.

Команды:

wmic process call create "procdump.exe -accepteula -ma lsass.exe lsass.dmp"

✅ Вывод: Создание дампа LSASS, который затем анализируется с помощью Mimikatz.

---

6️⃣ SharpDump

Описание: Альтернативный инструмент на языке C# для дампа LSASS. Используется для обхода антивирусных решений, поскольку компилируется и выполняется в памяти без записи на диск.

Разработчик: C#-реализация sekurlsa::minidump.

Команды:

SharpDump.exe

✅ Вывод: Позволяет создать дамп памяти LSASS.

---

Методы Credential Dumping

1. Извлечение хешей паролей из SAM (Security Account Manager)

Security Account Manager (SAM) — это база данных Windows, в которой хранятся хеши паролей локальных пользователей.

Как работает:

• Файлы SAM и SYSTEM находятся по пути C:\Windows\System32\config\SAM и C:\Windows\System32\config\SYSTEM.
• Для извлечения хешей паролей злоумышленник может использовать команду reg save или инструменты, такие как Mimikatz.

Пример:

reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive

mimikatz
lsadump::sam

Защита:

• Ограничение прав доступа к файлам SAM и SYSTEM.
• Использование BitLocker для шифрования системного диска.

---

2. Дамп памяти LSASS (Local Security Authority Subsystem Service)

LSASS хранит учетные данные в памяти, включая пароли и Kerberos-токены.

Как работает:

• Злоумышленник может снять дамп памяти процесса LSASS с помощью инструмента ProcDump.

Пример:

procdump -accepteula -ma lsass.exe lsass.dmp

Затем можно использовать Mimikatz для анализа дампа и извлечения учетных данных:

mimikatz
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

Защита:

• Включение Credential Guard и LSA Protection для защиты памяти процесса LSASS.
• Ограничение доступа к памяти процесса LSASS.

---

3. DCSync-атака

DCSync — это атака, при которой злоумышленник имитирует процесс репликации учетных данных в Active Directory, запрашивая хеши паролей у контроллера домена.

Как работает:

• Злоумышленник может использовать Mimikatz для выполнения репликации с контроллером домена.

Пример:

mimikatz
lsadump::dcsync /domain:example.local /user:Administrator

Защита:

• Ограничение прав на репликацию учетных данных для пользователей и групп.
• Включение LDAP Signing и Channel Binding для защиты репликации.

---

4. Pass-the-Hash (PTH)

Pass-the-Hash позволяет использовать хеш пароля вместо пароля для аутентификации в системе.

Как работает:

• Злоумышленник использует хеш пароля для аутентификации в сети, обходя требования ввода пароля.

Пример:

mimikatz
sekurlsa::pth /user:Administrator /domain:example.local /hash:<hash>

Защита:

• Включение Credential Guard для защиты хешей.
• Использование многофакторной аутентификации.

---

5. Использование LaZagne для извлечения учетных данных

LaZagne — это инструмент для извлечения паролей, сохраненных в различных приложениях, таких как браузеры, почтовые клиенты и мессенджеры.

Как работает:

• LaZagne позволяет извлекать пароли из браузеров, таких как Google Chrome, Mozilla Firefox, и других программ.

Пример:

lazagne.exe all
lazagne.exe browsers

Защита:

• Отключение функции автосохранения паролей в браузерах и приложениях.
• Использование средств шифрования для хранения паролей.

---

6. Извлечение учетных данных из /etc/shadow в Linux

В Linux учетные данные хранятся в файле /etc/shadow, который содержит хеши паролей пользователей.

Как работает:

• Злоумышленник может извлечь хеши паролей с помощью инструментов John the Ripper или Hashcat.

Пример:

john /etc/shadow
hashcat -m 1800 /etc/shadow

Защита:

• Ограничение доступа к файлу /etc/shadow.
• Использование сильных паролей и регулярная смена паролей.

---

Методы защиты от Credential Dumping

1. Защита файлов SAM и SYSTEM

Файлы SAM и SYSTEM хранят хеши паролей локальных пользователей, и их доступ должен быть строго ограничен.

Как защитить:

• Ограничьте права доступа к файлам SAM и SYSTEM. Убедитесь, что только администраторы могут читать эти файлы.
• Используйте BitLocker для шифрования дисков, что затруднит извлечение этих файлов при физическом доступе к устройству.

Дополнительные меры:

• Отключите доступ к regedit для пользователей с низкими правами, чтобы предотвратить сохранение или чтение системных реестров.

---

2. Защита процесса LSASS

LSASS (Local Security Authority Subsystem Service) — это процесс, который управляет безопасностью в системе, включая хранение учетных данных. Злоумышленники могут извлечь данные из памяти LSASS, чтобы получить пароли и другие учетные данные.

Как защитить:

• Включите Credential Guard в Windows 10 и Windows Server 2016 и более поздних версиях. Это предотвращает извлечение учетных данных из памяти процесса LSASS.
• Включите LSA Protection (защита службы локальных учетных записей) для предотвращения использования LSASS.
• Используйте Windows Defender Credential Guard для изоляции учетных данных в виртуализированном контейнере.

Дополнительные меры:

• Мониторьте процессы, которые пытаются взаимодействовать с памятью LSASS, с помощью инструментов для анализа поведения (например, Sysmon).

---

3. Защита от DCSync атак

DCSync позволяет злоумышленникам запрашивать хеши паролей в доменах Active Directory, имитируя репликацию учетных данных.

Как защитить:

• Ограничьте права на репликацию учетных данных. Убедитесь, что только доверенные учетные записи (например, контроллеры домена) могут использовать функцию репликации.
• Используйте групповые политики для ограничения прав Replicator (пользователи и группы с правами репликации).
• Включите LDAP Signing и Channel Binding для защиты репликации, что предотвратит возможность подслушивания данных.

Дополнительные меры:

• Используйте фильтрацию репликации для отсечения пользователей с низкими правами от выполнения репликации учетных данных.

---

4. Применение принципа наименьших прав

Один из лучших способов предотвратить Credential Dumping — это следить за тем, чтобы пользователи и приложения имели доступ только к тем данным и ресурсам, которые им действительно необходимы для работы.

Как защитить:

• Настройте роль и доступ для пользователей и групп таким образом, чтобы только администраторы могли выполнять критические операции, такие как доступ к базам данных паролей и учетным данным.
• Используйте имя пользователя и пароль с ограниченными правами, чтобы снизить риск компрометации учетных данных.

Дополнительные меры:

• Регулярно проверяйте доступы к системам и сервисам, чтобы исключить ненужные привилегии.

---

5. Многофакторная аутентификация (MFA)

Использование многофакторной аутентификации — это один из самых мощных методов защиты от Credential Dumping. Даже если злоумышленник получит хеш пароля, ему будет невозможно войти в систему без второго фактора.

Как защитить:

• Внедрите многофакторную аутентификацию (MFA) на всех критических системах, включая доступ к серверу, административным интерфейсам и корпоративным приложениям.
• Для обеспечения надежной MFA используйте такие методы, как SMS-коды, токены безопасности или биометрическую аутентификацию.

---

6. Шифрование данных

Шифрование данных на уровне файлов или всего диска помогает защитить учетные данные, хранящиеся на устройстве, от физического доступа злоумышленников.

Как защитить:

• Используйте BitLocker для шифрования системных и пользовательских дисков.
• Шифруйте файлы конфигурации, базы данных и резервные копии, содержащие учетные данные.
• Обеспечьте шифрование сетевого трафика с использованием SSL/TLS.

Дополнительные меры:

• Используйте ключи шифрования и управление ключами для минимизации доступа к шифрованным данным.

---

7. Контроль доступа и мониторинг

Мониторинг активности в системе поможет выявить подозрительные действия и предотвратить Credential Dumping.

Как защитить:

• Включите Sysmon для мониторинга системных событий и выявления аномальной активности, связанной с извлечением учетных данных.
• Настройте систему SIEM (например, Splunk, ELK Stack) для сбора и анализа логов в реальном времени, чтобы реагировать на атаки.
• Используйте Windows Event Logging для мониторинга доступа к ключевым процессам, таким как LSASS.

Дополнительные меры:

• Настройте уведомления для аномальной активности, такой как попытки доступа к памяти LSASS или команды, извлекающие информацию о пользователях.

---

8. Использование Application Whitelisting

Application Whitelisting помогает заблокировать непроверенные приложения и скрипты, которые могут быть использованы для выполнения атак.

Как защитить:

• Используйте решения для Application Whitelisting, такие как AppLocker или Windows Defender Application Control, чтобы разрешить запуск только доверенных приложений и скриптов.
• Следите за тем, чтобы инструменты, такие как Mimikatz, не могли быть запущены в вашей сети.

---

Примеры реальных атак

1️⃣ NotPetya (2017) – Кибератака на Украину

Описание:

• Вредоносное ПО NotPetya изначально распространялось через зараженное обновление бухгалтерского ПО M.E.Doc.
• Использовало Mimikatz для извлечения паролей из памяти Windows.
• Распространялось по сети с помощью Pass-the-Hash и уязвимости EternalBlue.

Последствия:

• Парализовало работу банков, энергетических компаний, аэропортов и государственных учреждений.
• Потери бизнеса – более 10 миллиардов долларов.

---

2️⃣ Атака на Sony Pictures (2014)

Описание:

• Хакеры из группы Lazarus Group (предположительно связаны с КНДР) проникли в сеть Sony Pictures.
• Использовали Credential Dumping для получения учетных данных сотрудников.
• Скомпрометировали серверы и уничтожили тысячи файлов.

Последствия:

• Утечка конфиденциальных данных, включая фильмы и личные данные сотрудников.
• Ущерб оценивается в более 100 миллионов долларов.

---

3️⃣ WannaCry (2017) – Массовая атака шифровальщика

Описание:

• Использовал уязвимость EternalBlue для заражения компьютеров.
• Применял Mimikatz для сбора паролей и дальнейшего распространения в сети.
• Шифровал файлы пользователей и требовал выкуп в биткоинах.

Последствия:

• Затронул более 200 000 компьютеров в 150 странах.
• Пострадали такие компании, как FedEx, Renault, NHS (Национальная служба здравоохранения Великобритании).
• Ущерб оценен в 4 миллиарда долларов.

---

4️⃣ Атака на Marriott International (2018)

Описание:

• Хакеры проникли в систему бронирования сети отелей Marriott и использовали Credential Dumping для получения доступа к базе данных.
• Скомпрометировали 500 миллионов записей клиентов.
• Украдены номера паспортов, данные банковских карт и контактная информация гостей.

Последствия:

• Крупнейшая утечка данных в индустрии гостиничного бизнеса.
• Штраф от властей США в размере 124 миллионов долларов.

---

5️⃣ Атака на SolarWinds (2020)

Описание:

• Группа хакеров APT29 (Cozy Bear) внедрила бэкдор в обновление ПО SolarWinds Orion.
• После проникновения в сеть использовали Mimikatz и другие инструменты для сбора учетных данных.
• Получили доступ к конфиденциальным данным американских госорганов и частных компаний.

Последствия:

• Пострадали Министерство финансов США, Microsoft, Cisco и другие компании.
• Ущерб оценивается в более 90 миллионов долларов.

---

Технические особенности эксплуатации методов Credential Dumping

---

1. Использование инструментов для извлечения хешей

Описание:

Одним из наиболее распространенных методов Credential Dumping является извлечение хешей паролей из операционной системы. Хеши часто хранятся в SAM файле на системах Windows или могут быть получены из службы LSASS. Для этого часто используются специальные инструменты.

Технические особенности эксплуатации:

• Mimikatz: Это один из наиболее популярных инструментов для извлечения учетных данных из памяти. Он может захватывать пароли и хеши из процесса LSASS или из файлов SAM и SYSTEM.
  • Для использования Mimikatz на машине необходимо получить права администратора или доступ к процессу LSASS.
  • Mimikatz использует различные методы, такие как извлечение из памяти через команду sekurlsa::logonPasswords или даже с помощью опции kerberos::tickets, чтобы получить токены Kerberos.
• Hashdump: Это команда в Mimikatz, которая позволяет извлекать хеши паролей из SAM и SYSTEM файлов.
  • Пример использования: mimikatz # privilege::debug → mimikatz # sekurlsa::logonPasswords для извлечения паролей из памяти.
• Impacket: Это набор Python-скриптов, который также может использоваться для извлечения хешей и паролей с помощью различных утилит, таких как GetNPUsers.py и DcomExec.py.
  • Impacket позволяет злоумышленнику с помощью SMB или RPC протоколов получить хеши паролей или Kerberos тикеты с удаленной машины.

---

2. Эксплуатация памяти с помощью Mimikatz

Описание:

Злоумышленники используют Mimikatz для доступа к памяти, где хранятся учетные данные, такие как пароли и хеши. Это позволяет им извлекать пароли даже без физического доступа к файлам.

Технические особенности эксплуатации:

• Получение доступа к процессу LSASS: Чтобы получить доступ к процессу LSASS (службы безопасности), злоумышленник должен использовать привилегии администратора или локальные SYSTEM-права.
  • Процесс LSASS является источником конфиденциальных данных, таких как пароли, Kerberos-токены и NTLM хеши.
  • Важно, что Mimikatz может взаимодействовать с процессом LSASS через Windows API, используя низкоуровневые методы для чтения памяти процесса.
• Вызов API: Для извлечения данных из памяти, Mimikatz использует API ZwQuerySystemInformation, чтобы захватить информацию о процессах, и NtQueryInformationProcess, чтобы получить доступ к данным в памяти.

---

3. DCSync атаки (Replication Protocol)

Описание:

Атака DCSync позволяет злоумышленникам получить хеши паролей из Active Directory, имитируя репликацию данных между контроллерами доменов.

Технические особенности эксплуатации:

• DCSync: С помощью инструмента Mimikatz злоумышленники могут использовать команду lsadump::dcsync для имитации запроса репликации учетных данных с контроллера домена.
  • Атакующий использует свои учетные данные для запроса информации о других учетных записях в домене, если у него есть права на репликацию.
  • DCSync не требует физического доступа к контроллеру домена, а только наличие соответствующих прав в Active Directory (например, права для чтения атрибутов учетных записей).
• Имитация репликации: Zлоумышленники могут запросить информацию о паролях из учетных записей с помощью команд, таких как:
  • mimikatz # lsadump::dcsync /domain:<domain> /user:<username>
  • Это позволяет атакующим получать хеши паролей и сессионные ключи, использующиеся в Kerberos.

---

4. Получение учетных данных из Kerberos тикетов

Описание:

Kerberos — это система аутентификации в Active Directory, которая использует тикеты для идентификации пользователей. Злоумышленники могут захватить эти тикеты для получения доступа к ресурсам.

Технические особенности эксплуатации:

• Kerberos Tickets: При аутентификации через Kerberos система генерирует тикеты (TGT), которые могут быть использованы для доступа к различным ресурсам в домене. Тикеты могут быть украдены с помощью Mimikatz.
  • TGT (Ticket Granting Ticket) можно захватить из памяти процесса LSASS, используя Mimikatz команду kerberos::tickets.
  • Атакующие могут использовать команду kerberos::ptt для вставки собственных тикетов в память, тем самым получая доступ к ресурсам от имени пользователя.

---

5. Эксплуатация NTLM хешей

Описание:

NTLM (NT LAN Manager) — это устаревший протокол аутентификации, который может использоваться злоумышленниками для атак на сетевые ресурсы.

Технические особенности эксплуатации:

• NTLM Relay Attack: Когда злоумышленник получает NTLM хеш, он может использовать его в атаке NTLM relay, перенаправляя аутентификационные запросы на другой сервер, например, на SMB сервер.
  • Пример атаки: Злоумышленник захватывает NTLM хеш и повторно отправляет его на сервер, имитируя запрос от реального пользователя.
• Pass-the-Hash: Это техника, при которой злоумышленник использует NTLM хеш вместо пароля для аутентификации на удаленных системах.
  • Для этого используется инструмент Pass-the-Hash Toolkit, который позволяет передавать хеши на сервер, минуя аутентификацию по паролю.

---

6. Эксплуатация через учетные записи Service Accounts

Описание:

Служебные учетные записи, используемые для работы сервисов и приложений, могут содержать уязвимости, которые злоумышленники могут использовать для получения доступа к ключевым системам.

Технические особенности эксплуатации:

• Service Account Passwords: Эти учетные записи часто имеют слабые пароли или их можно получить через утилиты, такие как Mimikatz или Metasploit.
  • Если учетные записи сервисов неправильно настроены, злоумышленник может получить доступ к системам, имеющим права администратора.
• Kerberos Tickets: Служебные учетные записи могут использовать Kerberos для аутентификации, что делает тикеты доступными для захвата с помощью Mimikatz.

---

Заключение

Методы Credential Dumping являются одной из наиболее опасных техник, используемых злоумышленниками для получения доступа к конфиденциальным данным в операционных системах, таких как Windows. Эти методы позволяют атакующим извлекать учетные данные, такие как пароли и хеши, из различных источников, включая память, файлы и сетевые протоколы. Такие инструменты, как Mimikatz, широко используются для извлечения паролей из памяти и выполнения атак типа Pass-the-Hash или DCSync, которые значительно усложняют защиту от атак, направленных на получение доступа к системе. Одним из главных этапов в эксплуатации Credential Dumping является захват данных из процесса LSASS, а также извлечение хешей учетных записей через использование уязвимостей в операционных системах и неправильных конфигураций. Злоумышленники могут успешно эксплуатировать слабые места в системе, такие как недостаточно защищенные учетные записи или неправильное управление правами доступа, что позволяет им использовать NTLM хеши для обхода аутентификации и проникновения в защищенные системы.

Для защиты от таких атак необходимо применять комплексный подход. Важно ограничить доступ к процессу LSASS, использовать многофакторную аутентификацию (MFA), которая может повысить безопасность даже при компрометации пароля, а также минимизировать права доступа пользователей. Еще одной важной мерой является отключение использования NTLM или ограничение его применения в сети, а также использование специализированных средств защиты, таких как Windows Defender Credential Guard, которые обеспечивают дополнительную защиту данных в памяти. Кроме того, регулярное обновление систем безопасности, мониторинг процессов и проведение аудитов активности пользователей значительно снижает вероятность успешных атак. Правильная настройка систем и учетных записей, а также обучение персонала безопасности являются неотъемлемыми частями эффективной защиты от методов Credential Dumping.

Таким образом, методы Credential Dumping могут быть эффективно нейтрализованы при условии применения комплексной стратегии защиты, включающей как технические, так и организационные меры безопасности. Важно помнить, что защита от подобных угроз требует постоянного контроля, обновления и улучшения процессов безопасности, чтобы минимизировать риски и предотвратить проникновение злоумышленников в сеть.

---

Ссылки и ресурсы

• MITRE ATT&CK Framework – подробная база техник и тактик, используемых злоумышленниками.
• Mimikatz – инструмент для извлечения паролей и хешей из памяти Windows.
• Impacket – библиотека Python с утилитами для атак, включая DCSync и Pass-the-Hash.
• LaZagne – инструмент для извлечения учетных данных из различных приложений и ОС.
• Exploit Database – база данных известных эксплойтов и уязвимостей.
• CVE Details – ресурс для поиска зарегистрированных уязвимостей и рейтингов.
• Offensive Security – обучение и ресурсы по пентестингу и эксплуатации уязвимостей.
• OWASP – рекомендации и инструменты для обеспечения безопасности приложений.
• CERT – информация и анализ инцидентов в сфере кибербезопасности.
• Rapid7 – аналитика уязвимостей, отчёты и инструменты для обеспечения безопасности.
• Windows Defender Credential Guard – документация по защите учетных данных с помощью Windows Defender.
• Microsoft Security Response Center (MSRC) – информация о безопасности от Microsoft.
• John the Ripper – инструмент для взлома хешей паролей, включая NTLM.