1. <i id="8kl0q"></i>

    ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

    譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

    數據來源:ATT&CK Matrices

    原文: https://attack.mitre.org/techniques/T1003

    術語表: /attack/glossary

    憑據轉儲

    憑據轉儲是從操作系統和軟件獲取帳戶登錄和密碼信息的過程,這些信息通常以散列或明文密碼的存儲。然后利用憑據進行橫向移動從而訪問受限信息。

    攻擊者和專業安全測試人員都可以使用此技術中提到的幾種工具。同時可能還有其他自定義工具。

    Windows

    SAM(安全帳號管理器)

    SAM 是一個數據庫文件,其中包含主機的本地帳戶,通常是通過“net user”命令獲取的帳戶。要遍歷 SAM 數據庫,需要進行系統級訪問。許多工具可以通過內存技術檢索 SAM 文件:

    • pwdumpx.exe
    • gsecdump
    • Mimikatz
    • secretsdump.py 或者,可以使用 Reg 命令從注冊表中提取 SAM :
    • reg save HKLM\sam sam
    • reg save HKLM\system system 然后可以使用 Creddump7 在本地處理 SAM 數據庫以檢索哈希值。 [1]

    注:Rid 500 帳戶是本地內置管理員。Rid 501 是訪客帳戶。用戶帳戶以 RID 1,000+開頭。

    緩存的憑據

    DCC2(域緩存憑據 v2)哈希在 Windows Vista 中使用,當域控制器不可用時,會更新緩存的憑據。默認緩存的憑據數量會有所不同,每個系統都可以修改該值。此 Hash 不允許 Pass The Hash 這類攻擊。許多工具可以利用內存技術檢索 SAM 文件。

    也使用 reg.exe 從 Registry 和用于收集憑據的 Creddump7 中提取。

    注:Windows Vista 緩存的憑據是使用 PBKDF2 導出的。

    本地安全頒發機構(LSA) Secrets

    通過 SYSTEM 訪問主機,LSA Secrets 通常允許從本地帳戶到基于域的帳戶憑據的簡單訪問。注冊表用于存儲 LSA Secrets。當服務在本地或域用戶的上下文中運行時,其密碼存儲在注冊表中。如果啟用了自動登錄,則此信息也將存儲在注冊表中。許多工具可以利用內存技術檢索 SAM 文件。

    • pwdumpx.exe
    • gsecdump
    • Mimikatz
    • secretsdump.py 也使用 reg.exe 從 Registry 和用于收集憑據的 Creddump7 中提取。

    注:由此機制提取的密碼是 UTF-16 編碼的,這意味著它們以明文形式返回。Windows 10 增加了對的 LSA Secrets 的保護,這將在緩解中闡述。

    域控制器的 NTDS

    Active Directory(活動目錄) 存儲有關域成員的信息,包括用于驗證憑據和定義訪問權限的設備和用戶。Active Directory (活動目錄)域數據庫存儲在 NTDS.dit 文件中。默認情況下,NTDS 文件位于域控制器的%SystemRoot%\ NTDS \ Ntds.dit 中。[2]

    可以使用以下工具和技術遍歷 NTDS 文件和整個 Active Directory 活動目錄哈希的內容。 - Volume Shadow Copy - secretsdump.py - Using the in-built Windows tool, ntdsutil.exe - Invoke-NinjaCopy

    組策略首選項(GPP)文件

    組策略首選項(GPP)允許管理員使用嵌入式憑據創建域策略。這些策略除了其他作用還可以允許管理員設置本地帳戶。

    這些組策略存儲在域控制器上的 SYSVOL 中,這意味著任何域用戶都可以查看 SYSVOL 共享并破解密碼(AES 私鑰已在網上泄露。 [3] [4]

    可以使用以下工具和腳本從組策略首選項 XML 文件中收集和破解密碼文件:

    • Metasploit’s post exploitation module: "post/windows/gather/credentials/gpp"
    • Get-GPPPassword [5]
    • gpprefdecrypt.py

    注:在 SYSVOL 共享中,以下命令可用于枚舉潛在的 XML 文件。dir / s * .xml

    服務主體名稱 (SPNs)

    查看 Kerberoasting

    明文證書

    用戶登錄系統后,會生成各種憑據并將其存儲在內存中的本地安全機構子系統服務(LSASS)進程中。這些憑據可以由管理用戶或 SYSTEM 收集。

    SSPI(安全支持提供程序接口)用作多個安全支持提供程序(SSP)的公共接口:安全支持提供程序(SSP)是一個動態鏈接庫(DLL),它提供一個或多個安全包給應用程序使用。

    以下 SSP 可用于訪問憑據:

    Msv:交互式登錄,批量登錄和服務登錄通過 MSV 身份驗證包完成。

    W??digest:摘要式身份驗證協議旨在用于超文本傳輸??協議(HTTP)和簡單身份驗證安全層(SASL)交換。

    [6] Kerberos:在 Windows 2000 及更高版本系統中進行服務器雙向域身份驗證的首選。

    CredSSP:為遠程桌面服務提供 SSO 和網絡級別身份驗證。
    以下工具可用于枚舉憑據:

    例如,在目標主機上使用 procdump:* procdump -ma lsass.exe lsass_dump

    在本地,mimikatz 可以運行:

    • sekurlsa::Minidump lsassdump.dmp
    • sekurlsa::logonPasswords

    DCSync

    DCSync 是憑據轉儲的變體,可用于從域控制器獲取敏感信息。該操作通過濫用域控制器的應用程序編程接口(API) [8] [9] [10][11]來模擬來自遠程域控制器的復制過程。而不是執行可識別的惡意代碼。任何一個域控制器上的管理員,域管理員,企業管理員組或計算機帳戶都能夠運行 DCSync 以從 Active Directory 中提取密碼數據 [12],其中可能包括潛在有用的帳戶的當前和歷史哈希,例如 KRBTGT 和 Administrators。然后可以使用哈希來創建用于票據傳遞的 Golden Ticket(黃金票據) 或更改帳戶操作中記錄的帳戶密碼。 DCSync 功能已包含在 Mimikatz 的“lsadump”模塊中。[15] Lsadump 還包括 NetSync,它通過傳統復制協議執行 DCSync [16]。

    Linux

    Proc 文件系統

    Linux 上的/proc 文件系統包含有關正在運行的操作系統狀態的大量信息。以 root 權限運行的進程可以使用此工具來獲取其他正在運行的程序的實時內存。如果這些程序中的任何一個在內存中以明文或密碼哈希存儲密碼,則可以通過日常使用或爆破獲得。此功能已在 MimiPenguin中實現,MimiPenguin 是一個受 Mimikatz啟發的開源工具。該工具轉儲進程內存,然后通過查找文本字符串和正則表達式模式來獲取密碼和哈希值,以了解給定應用程序(如 Gnome Keyring,sshd 和 Apache)如何使用內存來存儲此類身份驗證構件。

    緩解

    Windows

    使用允許進程白名單的工具監視/加強對 LSASS 和 SAM 表的訪問。限制跨系統的憑據重疊,以防止在攻擊者獲得密碼和散列值后使用有效帳戶 (Valid Accounts) 進行橫向移動。確保本地管理員帳戶在網絡上的所有系統中都具有復雜且唯一的密碼。除非受到嚴格控制,否則不要將用戶或管理域帳戶放在跨系統的本地管理員組中,因為這通常等同于在所有系統上使用具有相同密碼的本地管理員帳戶。遵循設計和管理企業網絡的最佳實踐,以限制跨管理層的特權帳戶使用。[82]

    在 Windows 8.1 和 Windows Server 2012 R2 上,為 LSA 啟用受保護的進程指示燈(Protected Process Light)。[83]

    在適當的情況下使用白名單 [84] 工具(如 AppLocker, [85] [86] 或軟件限制策略 [87] ),識別并阻止可能用于轉儲憑據的潛在惡意軟件。 [88]

    在 Windows 10 中,Microsoft 實施了名為 Credential Guard 的新保護措施,以保護可用于通過憑據轉儲形式獲取憑據的 LSA Secrets。該保護默認情況下沒有配置,并具有硬件和固件系統要求。 [89]它無法阻止所有形式的憑據轉儲。[90]

    管理“Replicating Directory Changes”的訪問控制列表以及與域控制器復制相關的其他權限。 [91] [92]

    考慮禁用或限制 NTLM 流量。 [93]

    Linux

    從內存中獲取密碼需要 root 權限。遵循限制特權提升的最佳實踐,以避免惡意程序訪問此類敏感內存區域。

    檢測

    Windows

    諸如 Mimikatz 之類的公共憑據轉儲器通過打開 LSA 子系統服務(LSASS)進程,查找 LSA Secrets 密鑰以及解密存儲器中存儲憑據詳細信息的的部分來訪問 LSA 子系統服務(LSASS)進程。憑據轉儲也可以使用反射進程注入的方法來減少潛在的惡意活動指標。

    散列轉儲程序在本地文件系統(%SystemRoot%/ system32 / config / SAM)上打開安全帳戶管理器(SAM),或者創建注冊表 SAM 密鑰的轉儲以訪問存儲的帳戶密碼哈希值。一些哈希轉儲器將打開本地文件系統作為設備并解析到 SAM 表以避免文件訪問防御。其他人將在讀取哈希值之前制作 SAM 表的內存副本。檢測攻擊者正在使用的被盜取的有效帳戶也可能有所幫助。

    在 Windows 8.1 和 Windows Server 2012 R2 上,監視 Windows 日志以創建 LSASS.exe 以驗證 LSASS 是否作為受保護進程啟動。

    監視程序執行的進程和命令行參數,這些參數可能表示憑據轉儲。遠程訪問工具可能包含內置功能或包含 Mimikatz 等現有工具。還會有包含憑據轉儲功能的 PowerShell 腳本,例如 PowerSploit 的 Invoke-Mimikatz 模塊, [94] 可能需要在操作系統中配置其他日志記錄功能以收集分析所需的信息。

    監視域控制器日志以查找可能與 DCSync 關聯的復制請求和其他未安排的活動。[8] [9] [10] 注意:域控制器可能不會記錄來自默認域控制器帳戶的復制請求。[95]另外監視來自與已知域控制器[91]無關的 IP 的網絡協議[8] [16] 和其他復制請求 [96] 。

    Linux

    要獲取存儲在內存中的密碼和哈希,進程必須在/ proc 文件系統中打開要分析的進程的映射文件。該文件存儲在/proc//maps路徑下,其中目錄是被查詢用于此類認證數據的程序的唯一 pid。AuditD 監控工具在許多 Linux 發行版都有,可用于監視在 proc 文件系統中打開此文件的惡意進程,對 pid,進程名稱和此類程序的參數告警。

    免费任你躁国语自产在线播放,午夜嘿嘿嘿在线观看,国语自产精品视频在线,女人本色完整版高清,大人片视频免费,国产综合有码无码中文字幕,日日摸日日碰夜夜爽无码 2020自拍偷区亚洲综合第一页,欧美色欧美亚洲日韩在线播放,偷拍中国熟妇牲交,久久99久久99久久综合,男女配种超爽免费视频,少妇被黑人4P到惨叫,国产成人午夜精品影院 我不卡影院免费观看,手机在线不卡一区二区,在线不卡日本v二区三区18,一日本道在线不卡视频,我不卡手机在线观看,国产欧美亚洲综合第一页,欧美顶级情欲片 午夜无码片在线观看影视,在线观看免费无码专区,成年肉动漫在线观看无码,99久久无色码中文字幕,久久SE精品一区二区,午夜无码片在线观看影视 偷柏自拍亚洲不卡综合在线,国产亚洲Av黄在线,久久精品五福影院,人人爽人人爽人人爽,99国产免费和视频,中文字幕无码日韩Av,中国美女牲交视频,国产女人牲交免费视频 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 亚洲中文字幕系列第1页_欧美a级片_男女激烈性高爱潮视频,欧美激情第一欧美精品,最新国产AⅤ精品无码,亚洲 欧美 国产综合aⅴ,视频一区 二区 三区,台湾自拍偷区亚洲综合
    亚洲人成观看视频在线观看,亚洲人成网站视频,亚洲人成AV免费,强乱中文字幕在线播放不卡,强伦姧中文字幕在线观看,国产v片在线播放免费,亚洲一日韩欧美中文字幕在线 青青草伊人,洛洛色中文网最新版,五月丁香综合,亚洲另类色区欧美日韩,日本中文字幕有码在线视频,最新亚洲中文字幕一区在线,中国熟妇牲交视频,性欧美牲交在线视频 又色又黄18禁免费的网站,国产亚洲日韩在线播放不卡,亚洲欧美中文日韩在线V日本,成·人免费午夜无码视频,欧美毛片性情免费播放,免费欧洲美女牲交视频,国产美女牲交视频 少妇的丰满2中文字幕,色八区人妻在线视频,香港日本韩国免费三级,免费视频在线观看网站,免费高清视频,香港三香港日本三级在线播放,洛洛色中文网最新版 老司机午夜神器_两性色午夜视频_午夜男人免费福利视频,男人吃奶视频.男人女人强吻下面视频.无码av手机免费不卡在线观看.在线日本v二区不卡,一本到高清视频不卡dvd 成年av动漫网站18禁无码,亚洲AⅤ视频动漫在线,亚洲成年AV天堂动漫网站最新电影,在线视频免费播放动漫H片在线播放免费,国产 欧美 日产_国产欧美国日产_日产a在线播放 性抽插gif动态图,俺去啦_俺来也,女人张开腿让男人桶肌肌,床震未满十八禁止观看男女男,欧美Z0ZO人禽交免费观看,日本高清AV免费乱码专区,欧洲美女粗暴牲交 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 免费网站看v片在线无遮挡,男女啪啪免费观看网站,大香大香伊人在钱线久久,日韩精品中文字幕高清在线,亚洲 国产 日韩 在线 一区,性欧美BBW性A片,黑粗硬大欧美在线视频 亚洲一日韩欧美中文字幕在线,大色堂撸撸看,欧美在线超清中文乱码一区,欧美肥老太交性视频,2020国产在视频线自在拍,日本牲交大片免费观看,日日摸夜夜添夜夜