mimikatz Benjamin DELPY `gentilkiwi` une petite introduction à sekurlsa

Documents pareils

mimikatz et la mémoire de Windows Benjamin DELPY `gentilkiwi`

Extraction de données authentifiantes de la mémoire Windows

Faiblesses des méthodes d administration en environnement Windows et état des lieux de l outillage intrusif 1/50

mimikatz présentation et utilisation avancée Benjamin DELPY `gentilkiwi`

Aurélien Bordes. OSSIR 13 juillet 2010

Progressons vers l internet de demain

Secrets d authentification sous Windows

Guide de configuration d'une classe

Le modèle de sécurité windows

EA D S INNOVA TION W ORKS. Pass The Hash. Nicolas RUFF EADS-IW SE/CS nicolas.ruff (à) eads.net

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Cadeaux d affaires, cadeaux d entreprises, objets publicitaires - services@france-cadeaux.fr

BAREME sur 40 points. Informatique - session 2 - Master de psychologie 2006/2007

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

Le paiement de votre parking maintenant par SMS

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

La sécurité dans les grilles

Édito. Mon Université Numérique. Édito. L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

Sécurité des systèmes d'information Sécurité Windows

SÉCURISATION D'UN SERVEUR WINDOWS 2000

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Édito. Mon Université Numérique. Édito. L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

Fiche technique rue de Londres Paris Tél. : Mail : contact@omnikles.com

Didier Perrot Olivier Perroquin In-Webo Technologies

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

La citadelle électronique séminaire du 14 mars 2002

LA CARTE D IDENTITE ELECTRONIQUE (eid)

Certificats Electronique d AE sur Clé USB

Tour d horizon des différents SSO disponibles

Guide de démarrage

Distributeur des solutions ESET et 8MAN en France

Le principe du moindre privilège appliqué aux systèmes Windows

Mon Université Numérique. Édito L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

FORMATION WS0801. Centre de formation agréé

Édito. Mon Université Numérique. Édito. L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

Trouver des sources de capital

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

PortWise Access Management Suite

Édito. Mon Université Numérique. Édito L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

JAB, une backdoor pour réseau Win32 inconnu

Mon Université Numérique. Édito L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

Network WPA. Projecteur portable NEC NP905/NP901W Guide de configuration. Security WPA. Méthode d authentification supportée

Sécurité des systèmes d'informations et communicants dans le médical

SED SELF ENCRYPTING DRIVE Disques durs chiffrant : la solution contre les pertes de données

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Mon Université Numérique. Édito L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

Kerberos en environnement ISP UNIX/Win2K/Cisco

Sécurité WebSphere MQ V 5.3

WIFI sécurisé en entreprise (sur un Active Directory 2008)

MIPOLAM EL. gerflor.fr

NOMENCLATURE. PARTIE 1 : PRODUITS, MATERIAUX et EQUIPEMENTS

Édito. Mon Université Numérique. Édito. L Université Numérique Paris Île-de-France Les formations UNPIdF Mobilité

Gestion des identités

Le compte épargne temps

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

La lettre. La Gestion des filiales dans une PME : Bonnes Pratiques et Pièges à éviter. Implantations à l étranger : Alternatives à la création

VAMT 2.0. Activation de Windows 7 en collège

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT. SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics]

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Voyez la réponse à cette question dans ce chapitre.

Cours 14. Crypto. 2004, Marc-André Léger

Secrets d authentification épisode II Kerberos contre-attaque

Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC Francisco. Juin 2013 LEXFO 1

HP ProtectTools Manuel de l'utilisateur

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

L Authentification de Librex dans Active Directory (Kerberos)

Chapitre 3. Sécurité des Objets

Les technologies de gestion de l identité

Protection des Applications Web avec OpenAM

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Retour d expérience Sénalia. Comment migrer progressivement vers Microsoft Office 365?

Les défis du VDI Le cas de XenDesktop. Les défis du VDI

Edition de février Numéro 1. Virtualisation du Poste de Travail

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Application de Gestion des Notes de Frais sous Lotus Notes via un navigateur avec WorkFlow 1

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

HP ProtectTools Manuel de l utilisateur

Documentation utilisateur "OK-MARCHE" Historique des modifications. 3.0 Mise à jour complète suite à version OK-MARCHE V2.2. de marchés publics

Table des matières Avant-propos... V Scripting Windows, pour quoi faire?... 1 Dans quel contexte?

Tutorial Authentification Forte Technologie des identités numériques

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Mise en œuvre des Services Bureau à distance

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Pré-requis pour les serveurs Windows 2003, Windows 2008 R2 et Windows 2012

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

Accès réseau Banque-Carrefour par l Internet Version /06/2005

TP6 : ALIMENTATION A DECOUPAGE : HACHEUR SERIE ET CONVERTISSEUR STATIQUE ABAISSEUR DE TENSION

Raccordement desmachines Windows 7 à SCRIBE

Retour d'expérience sur le déploiement de biométrie à grande échelle

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

RETIRER DE L ARGENT DE VOTRE SOCIÉTÉ

Spécifications système. Démarrage de l application CertiBru-Res. Premier accès à l application à partir de cet ordinateur

Transcription:

mimikatz Benjamin DELPY `gentilkiwi` une petite introduction à ekurla

Qui ui-je? Pourquoi mimikatz? Benjamin DELPY `gentilkiwi` Kiwi addict ; Codeur feignant efficace ; Nouveau papa! `mimikatz` a été créé pour : expliquer de concept de écurité ; m améliorer en programmation / écurité ; prouver quelque théorie à Microoft. Pourquoi en françai?* limitait l utiliation par de cript kiddie ; Hacking like a Sir. 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 2

mimikatz Fonctionne ur XP, 2003, Vita, 2008, Seven, 2008r2, 8, 2012 x86 & x64 ;) plu de upport de Window 2000 En toute circontance : compilation tatique* Deux mode d utiliation Commande locale Commande ditance (librairie / pilote) m i m i k a t z. e x e KeyIo «Iolation de clé CNG» LSASS.EXE crypto::patchcng EventLog «Journal d événement Window» SVCHOST.EXE diver::eventdrop m i m i k a t z. e x e SamSS «Getionnaire de compte de écurité» LSASS.EXE VirtualAllocEx, WriteProceMemory, CreateRemoteThread... ekurla.dll Injection de librairie Communication par canal nommé 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 3

mimikatz :: ekurla Qu et ce donc que cette diablerie? mod_mimikatz_ekurla Mon module favori! Il lit de donnée depui le ervice SamS (plu communément appelé LSASS) Le module ekurla récupère : MSV1_0* hah TPkg mot de pae WDiget mot de pae LiveSSP mot de pae Kerbero mot de pae SSP* mot de pae 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 4

mimikatz :: ekurla Fonctionnement de LSA(niveau PLAYSKOOL ) Authentication WinLogon LaSS mv1_0 SAM uer:domain:paword kerbero Challenge Repone Authentication Package mv1_0 tpkg wdiget livep kerbero 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 5

mimikatz :: ekurla Fonctionnement de LSA(niveau PLAYSKOOL ) Le package d authentification : prennent le credential de l utiliateur ; font leur auce interne (calcul de hah, négociation de ticket ) ; gardent en mémoire aez de donnée pour calculer le répone aux challenge (Single Sign On). Si nou récupéron le donnée, pui le injecton dan une autre eion de LSASS, nou éviton l authentification C et le principe du «Pa-the-hah» En fait, du «Pa-the-x» 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 6

mimikatz :: ekurla pourquoi ce package? TPkg Facilite le connexion au «RemoteApp» et TerminalServer en envoyant le mot de pae en clair WDiget Répondre par challenge/repone Le Realm du erveur étant variable, le mot de pae doit être diponible pour recalculer le hah. LiveSSP Compte «Microoft» pour connexion avec on compte Live Kerbero Bien connu mai pourquoi? A priori pa beoin du mot de pae pour échanger le ticket? MSV1_0 Pour répondre en challenge/repone ur LM/NTLM Le ecret partagé rete le() hah. SSP Pa véritablement un package d authentification, mai maintient une table de connexion ditante explicite 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 7

mimikatz :: ekurla Tou le mot de pae ont en mémoire, chiffré, mai de manière réverible Cela revient à chiffrer un fichier ZIP, et l envoyer par mail avec on mot de pae Précédemment, j utiliai LaUnprotectMemory, dan le contexte d exécution de LSASS pour le déchiffrer LaUnprotectMemory Cette fonction repoe ur LaEncryptMemory de la librairie larv.dll Pour bénéficier du contexte de LSASS (clé, IV, ), ekurla.dll était injectée dan LSASS Pourrion-nou déchiffrer an injection? Pourquoi pa? Si nou avon le routine et le clé mimikatz peut utilier larv.dll pour «importer» le clé de LSASS! 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 8

mimikatz :: ekurla LaEncryptMemory Selon la taille du ecret, LaEncryptMemory utilie : NT5 NT6 RC4-3DES InitializationVector l a g_cbrandomkey g_prandomkey DESx - AES l a l a r v l a r v g_pdesxkey g_feedback h3dekey haekey copy m i m i k a t z l a r v 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 9

mimikatz :: ekurla memo Security Package Package Symbol Type tpkg tpkg!tsglobalcredtable RTL_AVL_TABLE wdiget wdiget!l_logselit LIST_ENTRY livep livep!livegloballogonseionlit LIST_ENTRY kerbero (nt5) kerbero!kerblogonseionlit LIST_ENTRY kerbero (nt6) kerbero!kerbgloballogonseiontable RTL_AVL_TABLE mv1_0 Protection Key larv!logonseionlit larv!logonseionlitcount LIST_ENTRY ULONG p mv1_0!spcredentiallit LIST_ENTRY Key NT 5 Symbol Key NT 6 Symbol RC4 DESx larv!g_cbrandomkey larv!g_prandomkey larv!g_pdesxkey larv!g_feedback 3DES AES larv!initializationvector larv!h3dekey larv!haekey 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 10

mimikatz :: ekurla workflow LaEnumerateLogonSeion* for each LUID typedef truct _KIWI_truct { LUID LocallyUniqueIdentifier; [ ] LSA_UNICODE_STRING UerName; LSA_UNICODE_STRING Domaine; LSA_UNICODE_STRING Paword; [ ] } KIWI_truct, *PKIWI_truct; module!ymbol earch lit/avl for LUID KIWI_truct LaUnprotectMemory paword in clear! 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 11

mimikatz :: ekurla demo! 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 12

mimikatz :: ekurla memo Quelque commande : mimikatz privilege::debug "ekurla::logonpaword full" exit pexec \\window - -c c:\mimikatz\win32\mimikatz.exe "ekurla::logonpaword full" exit meterpreter > execute -H -c -i -m -f /pentet/paword/mimikatz/mimikatz_x86.exe mimikatz 1.0 x64 (RC) /* Traitement du Kiwi (Aug 2 2012 01:32:28) */ // http://blog.gentilkiwi.com/mimikatz mimikatz # privilege::debug Demande d'activation du privilège : SeDebugPrivilege : OK mimikatz # ekurla::logonpaword full Authentification Id : 0;234870 Package d'authentification : NTLM Utiliateur principal : Gentil Kiwi Domaine d'authentification : vm-w8-rp-x mv1_0 : * Utiliateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Hah LM : d0e9aee149655a6075e4540af1f22d3b * Hah NTLM : cc36cf7a8514893efccd332446158b1a kerbero : * Utiliateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Mot de pae : waza1234/ wdiget : * Utiliateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Mot de pae : waza1234/ tpkg : * Utiliateur : Gentil Kiwi * Domaine : vm-w8-rp-x * Mot de pae : waza1234/ livep : n.t. (LUID KO) 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 13

mimikatz new! L injection de DLL et encore néceaire pour certaine fonctionnalité Dump SAM / AD (ou en paant en mode hor ligne/regitre) Dump de Credential enregitré Une nouvelle verion et en développement Revue de code Entièrement en C Liée aux runtime ytème (taille minimale) Plu rapide Nouvelle approche de getion de la mémoire Le BYOD nou ouvre e bra : Bring Your Own Dump! 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 14

mimikatz :: ekurla demo! 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 15

mimikatz quoi d autre? Récupérer le ecret ytème/utiliateur (mot de pae enregitré) Pa-the-hah (et oui, depui 2007) Dump SAM / AD Exporter le clé/certificat non exportable (CAPI & CNG) Arrêter l Obervateur d évènement Eviter Applocker / SRP Jouer avec le démineur Manipuler quelque Handle Patcher Terminal Server Eviter certaine GPO Driver Jouer avec le Token & Privilège Afficher la SSDT x86 & x64 Liter le MiniFiltre Liter le Notification (proce / thread / image / regitry) Liter le hook et procédure aocié aux Object 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 16

mimikatz :: ekurla & crypto Que pouvez-vou faire? Première approche Pa d accè phyique aux pote / erveur Chiffrement de volume / dique dan une moindre meure Pa de droit admin! (urtout pour le VIP) - Pa de privilège Debug! Déactivation de compte admin locaux Mot de pae fort (haha, je plaiante bien ur ) Eviter le connexion interactive (privilégier le connexion réeaux via RPC) Auditer, auditer et auditer; pa the hah laie de trace et peut verrouiller de compte Utilier de réeaux éparé, de forêt dédiée pour le tâche d adminitration! Plu en profondeur Forcer l authentification forte (SmartCard & Token) : $ / Diminuer la durée de vie de ticket Kerbero Déactiver la délégation Déactiver LM et NTLM (forcer Kerbero) Pa de Biométrie ni de SSO «exotique» Laier la poibilité de ne plu être rétro-compatible Crypto Utilier de token ou carte à puce pour le certificat utiliateur Utilier de Hardware Security Module (HSM), même SoftHSM, pour le certificat machine A étudier TPM ou Window 8 Virtual SmartCard emble prometteur Vérifier le implémentation pécifique de TPM CSP/KSP de fournieur (Lenovo, Dell, ) Leur biométrie laiait déjà à déirer ;) 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 17

mimikatz that all folk! Merci à : ma compagne (on upport, e crah LSASS, etc.) ; L OSSIR, et en particulier Nicola Ruff pour on invitation ; Microoft pour conidérer tout cela comme normal ; la communauté pour e idée (mgrzeg, 0vercl0k, ) ; vou, pour votre attention! Quetion? J accepte un verre ;) 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 18

Blog, Code Source & Contact blog mimikatz ource email http://blog.gentilkiwi.com http://blog.gentilkiwi.com/mimikatz http://code.google.com/p/mimikatz/ benjamin@gentilkiwi.com 26/02/2013 Benjamin DELPY `gentilkiwi` @ OSSIR 02/2013 - benjamin@gentilkiwi.com ; blog.gentilkiwi.com 19