如何防御mimikatz致敬Mimikatz攻防雜談學習筆記


零、緒論:mimikatz簡介



mimikatz是一款出色的內網滲透工具,可以抓取windows主機的明文密碼、NTLMhash值或者kerberos對應的緩存憑據。mimikatz的使用在獲取權限后可以上傳到目標主機上,或者在msf上直接加載。

Mimikatz Commands
=================

    Command           Description
    -------           -----------
    kerberos          Attempt to retrieve kerberos creds
    livessp           Attempt to retrieve livessp creds
    mimikatz_command  Run a custom command
    msv               Attempt to retrieve msv creds (hashes)
    ssp               Attempt to retrieve ssp creds
    tspkg             Attempt to retrieve tspkg creds
    wdigest           Attempt to retrieve wdigest creds

一、防御措施一:關閉程序調試權限



debug:privilege玩過mimkatz肯定對這條命令記憶猶新,獲取程序調試的權限,一般這個權限在administrator的權限種,但實際上如果不是程序員,這個權限沒有必要,可以關閉,但域中的機器,此方法無效,因為OU組策略的優先級最高,而這個權限在ou組權限中沒有定義,無法配置。

附錄:windows 策略優先級從高到低


OU Policy->Domain Policy->Site Policy->Local Policy

二、防御措施二:WDigest協議禁用



在winserver2008之前,該協議配置項默認啟用,會在lsass.exe進程中保存明文密碼用於http認證,需要打補丁KB2871997來配置禁用,winserver2008和以后版本默認禁用。緩存未知如下注冊表鍵值,0為不緩存,1為緩存

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

三、防御措施三:不緩存域憑證



簡單DDC的背景簡介


Domain Cached Credentials 簡稱 DDC,也叫 mscache。有兩個版本,XP/2003 年代的叫第一代,Vasta/2008 之后的是第二代。緩存位置如下:

HKEY_LOCAL_MACHINE\SECURITY\Cache

不緩存憑證的話,當然也就抓不到平局了。

配置項


四、其他措施或注意事項



受保護用戶組:


受保護的用戶組會強迫本地管理員賬號強行走kerberos認證,這是在winserver2012之后新加入的,winserver2008以及之前版本需要打補丁KN2871997。

受限管理員模式


在win8.1/winserver2012r2引入,之前需要打補丁KN2871997和KB2973351。該模式存在問題,可以直接利用當前緩存登錄,攻擊手法RDP-PTH

mimikatz# sekurlsa::pth /user:bobac /domain:172.16.204.139 /ntlm:hash-value "/run:mstsc.exe /restrictedadmin"

鳴謝:



參考文獻:
hl0rey在信安之路發布的文章:Mimikatz 攻防雜談


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM