Lateral movement w Active Directory z wykorzystaniem WinRM

Lateral movement (często tłumaczony jako ruch boczny) w środowiskach Active Directory bardzo rzadko opiera się na podatnościach w rozumieniu tych dostępnych w ramach bazy CVE. W praktyce znacznie częściej jest to konsekwencja nadużycia wbudowanych mechanizmów administracyjnych, które zostały zaprojektowane z myślą o automatyzacji i zdalnym zarządzaniu systemami z rodziny Windows....

#Teksty #Metasploit #Mimikatz #Netsec #Poradnik #Powershell #Winrm

https://sekurak.pl/lateral-movement-w-active-directory-z-wykorzystaniem-winrm/

Защита процесса lsass от credential dumping

Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти хранятся хэши паролей NTLM, билеты Kerberos, данные сессий, а в некоторых конфигурациях — даже пароли в открытом виде, если используется устаревший протокол WDigest. Столь высокая концентрация секретов делает lsass.exe лакомой целью для злоумышленников, получивших доступ к системе. После Initial Access фазы атакующий будет стремиться повысить привилегии и двигаться дальше по сети. Дамп памяти lsass.exe — самый прямой и часто самый простой способ достичь этих целей, поскольку при отсутствии защиты атакующий очень легко извлекает оттуда данные для проведения атак Pass-the-hash и Pass-the-ticket. В то же время, для атаки на незащищенный lsass.exe, нужно сравнительно немного: права локального администратора и Mimikatz. Таким образом, защиту этого процесса, по моему мнению, нужно внести в базовый набор мероприятий для любой инфраструктуры с Windows-машинами. Существуют различные методы получения дампа lsass.exe. В материале мы рассмотрим как тривиальные, так и более изощренные, но не с позиции атакующего. Поскольку основная часть материала будет посвящена методам защиты lsass от извлечения данных, знакомство с различными способами атаки будет играть вспомогательную роль для лучшего понимания механики защитных мер.

https://habr.com/ru/companies/first/articles/943490/

#lsass #mimikatz #credentials

GentilKiwi keynote at BluehatIL, #mimikatz

https://www.youtube.com/watch?v=11A8ltaMoJA

Asking the fediverse: Which tools, inlcuding #mimikatz, can be used today to extract ALL generations of password hashes stored on a windows client/server, and how?

Some orgs still use standard Windows option for blocking reuse of N previous passwords, meaning the hashes of those old passwords are stored as well.

If extracted and cracked, attackers can gain VERY valuable info on password patterns used by users.

😈 Атаки на Active Directory: от 0 до 0,9.

#pentest #ActiveDirectory #mimikatz #MSSQL #RDP #rpc #smb #SSH

Цель статьи — рассмотреть Active Directory с точки зрения злоумышленника. Чтобы понять, как атаковать Active Directory, необходимо знать не только перечень инструментов, но и то, как они работают, какие протоколы/механизмы они используют и почему эти механизмы/протоколы существуют.

• Оригинал: https://zer1t0.gitlab.io/posts/attacking_ad/

• Перевод RU:

1. https://defcon.ru/penetration-testing/18872/
2. https://defcon.ru/penetration-testing/18901/
3. https://defcon.ru/penetration-testing/18931/
4. https://defcon.ru/penetration-testing/18955/
5. https://defcon.ru/penetration-testing/18990/
6. https://defcon.ru/penetration-testing/19011/
7. https://defcon.ru/penetration-testing/19041/