PENTEST – MIMIKATZ
Determinar precisamente os privilégios de acesso de cada usuário ou grupo é um desafio considerável. Muitas vezes, a organização não tem uma compreensão completa do impacto total do acesso concedido a um grupo. Os invasores exploram essas lacunas para comprometer o Windows ou um Sistema de Rede como o Active Directory.
Obter acesso com menos privilégios não é apenas um projeto, mas uma mudança na cultura organizacional. Ao promover uma mudança cultural e envolver todos os membros da empresa, a postura de segurança da organização se fortalecerá.
Existem vários pontos de atenção que devemos considerar, já que o acesso privilegiado nem sempre é explicitamente concedido:
- Associação a grupos do Active Directory.
- Grupos do AD com direitos privilegiados em computadores.
- Delegação de direitos a objetos do AD, incluindo modificação das permissões padrão.
- Direitos de objetos migrados com SIDHistory.
- Delegação de direitos para objetos de GPO.
- Atribuição de direitos de usuário via GPO ou Diretiva Local.
- Associação de grupo local em um ou mais computadores, semelhante às configurações atribuídas pelo GPO.
- Delegação de direitos para pastas compartilhadas.
Enumerar os membros do grupo é a maneira mais simples de descobrir contas privilegiadas no Active Directory. Algumas dessas contas incluem Account Operators, Administrators, Allowed RODC Password Replication Group, Backup Operators, entre outros.
Os poderes dessas contas são diversos e podem ser consultados no “Active Directory Security Group“.
Microsoft sob ataque – Mimikatz
Mimikatz é uma ferramenta de código aberto amplamente conhecida no campo da segurança cibernética, desenvolvida pelo pesquisador Benjamin Delpy. Ela é projetada para recuperar senhas, chaves e outros tipos de informações de autenticação do sistema operacional Windows. Também é capaz de extrair credenciais de forma ativa da memória do sistema, o que o torna uma ferramenta potencialmente perigosa quando usada por atacantes.
Algumas das principais funcionalidades do Mimikatz incluem:
- Recuperação de Senhas em Texto Puro: Extrair senhas em texto puro de processos em execução na memória, incluindo senhas de usuários, senhas de serviço, senhas de terminal, entre outras.
- Obtenção de Credenciais NTLM e Kerberos: Recuperar e manipular credenciais NTLM (NT LAN Manager) e Kerberos presentes na memória do sistema, permitindo a escalada de privilégios e acesso não autorizado a recursos.
- Extração de Credenciais do LSASS: LSASS (Local Security Authority Subsystem Service), que é responsável pela autenticação no Windows.
- Pass-the-Hash e Pass-the-Ticket Attacks: Credenciais de hash ou de ticket são usadas para acessar sistemas sem a necessidade de conhecer a senha original.
Devido à sua capacidade de extrair informações sensíveis do sistema operacional Windows, Mimikatz é frequentemente utilizada em testes de penetração (Pentest) para avaliar a postura de segurança de uma organização. No entanto, também é importante destacar que pode ser usado por atacantes mal-intencionados para realizar ataques cibernéticos. Por esse motivo, é fundamental que as organizações implementem medidas de segurança adequadas para proteger seus sistemas contra esse tipo de ameaça.
Prática – Windows Pentest
O pentest abaixo, foi feito em uma máquina com o Windows 10.
O mesmo processo serve para um servidor com Windows Server e o serviço do Active Directory instalado e configurado.
Faça download do Mimikatz – https://github.com/ParrotSec/mimikatz
Extraia o arquivo e execute o software como Administrador
Com o prompt aberto: execute os dois comandos abaixo:
privilege::debug
sekurlsa::logonpasswords
Ele começará a varredura dos usuários locais e mostrará os hashs capturados.
Ps: Caso o ataque seja feito em uma Sistema Operacional Windows 7 até Windows 8.1, a senha aparecerá direto no prompt.
Abaixo, hash capturado do usuário daniel:
Existem diversos softwares que fazem o decrypt de um hash. Para o exemplo ser prático, utilizaremos o http://hashes.com.
Clique em Submit e a senha do usuário daniel será revelada:
Até a próxima!