Mimikatz (4/4) : matrice de tests de fonctionnement (tuto de A à Z)

1

Mimikatz (4/4) : matrice de

test de fonctionnement (v1.13)

Tutorial conu et rdig par Michel de CREVOISIER - octobre 2014

ARTICLES ASSOCIES

1. Mimikatz : prsentation, fonctionnement, contre-mesures et processus LSASS (lien) 2. Mimikatz : extraction de mots de passe partir dun dump du processus LSASS (lien) 3. Mimikatz : rcupration de mots de passe via Metasploit et Meterpreter (lien) 4. Mimikatz : matrice de tests de fonctionnement en environnement Windows (lien)

2

Prambule

Dans un article prcdent, nous prsentions le logiciel Mimikatz ainsi que son module sekurlsa capable de rcuprer les mots de passe Windows en mmoire. Cependant, et comme le dmontreront les tests raliss la suite, les conditions requises pour russir cet exploit varient selon la configuration et les systmes de scurit du systme dexploitation. Lobjectif de cet article est donc de mettre en lumire les diffrents modes opratoires employs par les hackers afin de renforcer la ncessit de mise en uvre de moyens de protection adquats. Cest pourquoi nous tudierons la suite les conditions de russite ncessaires la ralisation de ces 3 attaques bases sur Mimikatz :

Attaque 1 : Mimikatz

Attaque 2 : Dump local ou distance du processus LSASS

Attaque 3 : Excution dun shellcode local ou distance via Metasploit et Meterpreter

3

INDEX

Prambule ........................................................................................................................................................... 2

INDEX ................................................................................................................................................................... 3

1. Environnement de test ............................................................................................................................... 4

1.1 Configuration du systme ................................................................................................................... 4

1.2 Configuration de lUAC ........................................................................................................................ 4

1.3 Configuration du privilge debug .................................................................................................. 4

1.4 Contexte dexcution de lapplication ................................................................................................. 5

2. Attaque n1 : Mimikatz ............................................................................................................................... 6

2.1 Contexte .............................................................................................................................................. 6

2.2 Rsultats des tests ............................................................................................................................... 6

2.3 Analyse des rsultats ........................................................................................................................... 6

3. Attaque n2 : Dump du processus LSASS ............................................................................................. 7

3.1 Contexte .............................................................................................................................................. 7


3.3 Analyse des rsultats ........................................................................................................................... 8

4. Attaque n3 : Meterpreter .......................................................................................................................... 9

4.1 Contexte .............................................................................................................................................. 9


4.3 Analyse des rsultats ......................................................................................................................... 10

Conclusion ......................................................................................................................................................... 11

4

1. Environnement de test

1.1 Configuration du systme Lenvironnement suivant a t utilis pour mener bien les tests :

Systme dexploitation Windows 7 x64 SP1 avec les correctifs de septembre 2014 Configuration du pare-feu par dfaut (filtrage en entre uniquement) et activation du

Partage de fichiers et dimprimantes Dsactivation de lantivirus Windows Defender pour viter les faux-positifs Activation de la DEP ( Data Execution Prevention ) pour tous les programmes et services Utilisation dun compte avec des privilges dadministration pour lensemble des tests,

laissant supposer que les identifiants appartiennent : o Un utilisateur (local ou du domaine) disposant des droits administrateurs sur son poste o Un administrateur systme disposant des accs un serveur (ex : contrleur de

domaine, serveur Remote Desktop Service , serveur de base de donnes, ) o Un attaquant ayant russi rcuprer un identifiant (local ou du domaine) dun

utilisateur

1.2 Configuration de lUAC Selon les environnements de test, lUAC ( User Account Control ) a t activ ou dsactiv. Notez quil est ncessaire de redmarrer le systme pour prendre en compte sa dsactivation.

1.3 Configuration du privilge debug Selon les environnements de test, le privilge debug attribu au groupe local Administrateurs a t supprim ou maintenu. Pour information ce privilge permet daider un dveloppeur dbugger un processus (source). Il peut tre dsactiv par GPO partir du chemin suivant : Configuration ordinateur > Paramtres Windows > Paramtres de scurit > Stratgies locales > Attribution des droits utilisateurs

5

1.4 Contexte dexcution de lapplication Lexcution des applications (Mimikatz ou shellcode ) prsentes la suite a t ralise par :

o Un simple double-clic sur lexcutable o Un clic droit puis Excuter en tant quadministrateur :

o Un compte system via le logiciel PSexec et loption [-s] :

6

2. Attaque n1 : Mimikatz

2.1 Contexte Cette attaque savre dune simplicit enfantine. Il suffit en effet de tlcharger lapplication Mimikatz sur le site officiel et dexcuter le module sekurlsa sur un poste pour rcuprer les mots de passe contenus en mmoire du processus LSASS.

2.2 Rsultats des tests

2.3 Analyse des rsultats

En excutant lapplication Mimikatz avec le privilge system , les restrictions dfinies par le mode debug sont outrepasses et les mots de passe en mmoire rcuprs

En excutant lapplication Mimikatz en tant quadministrateur local mais sans le privilge debug , il est impossible de rcuprer les mots de passe en mmoire

Lactivation de lUAC permet de limiter laccs aux droits dadministrateur par lapplication

Mimikatz uniquement si elle nest pas excute via laction : clic droit > Excuter en tant quadministrateur

7

3. Attaque n2 : Dump du processus LSASS

3.1 Contexte Pour cette attaque il suffit de raliser un dump du processus LSASS et de lanalyser via le module minidump de Mimikatz. La capture du dump peut seffectuer de deux faons :

Localement via le logiciel Procdump

A distance en excutant le logiciel Procdump via loutil PSexec Un article dtaillant la dmarche adopter pour lutilisation de ces deux mthodes est disponible ici.


8


En excutant lapplication Procdump avec le privilge system , les restrictions dfinies par le mode debug sont outrepasses et le dump du processus LSASS effectu

En excutant lapplication Procdump en tant quadministrateur local mais sans le privilge debug , il est impossible de raliser un dump du processus LSASS

LUAC empche lutilisation du logiciel PSexec uniquement sil est utilis avec un compte local

membre du groupe Administrateurs de la machine cible. Sil est utilis avec un compte du domaine plac dans le groupe Administrateurs de la machine cible, alors lUAC sera outrepass et PSexec excut

9

4. Attaque n3 : Meterpreter

4.1 Contexte Pour mener bien cette attaque, lattaquant doit prparer un shellcode (ou programme de contrle distance) qui devra tre excut sur le poste de la victime. Pour excuter ledit programme, lattaquant dispose de deux techniques :

La premire, dite locale, consiste faire excuter le shellcode par la victime La seconde, dite distante, consiste excuter le shellcode via loutil PSexec

Un article dtaillant la dmarche adopter pour lutilisation de ces deux mthodes est disponible ici.


10


Lactivation de lUAC permet de limiter laccs au compte system par lattaquant uniquement si le shellcode nest pas excut via laction : clic droit > Excuter en tant quadministrateur

Lattaquant doit obligatoirement migrer le processus associ au shellcode vers un

processus excut par un compte system (AUTORITE NT\Systeme)

LUAC empche lutilisation du logiciel PSexec uniquement sil est utilis avec un compte local membre du groupe Administrateurs de la machine cible. Sil est utilis avec un compte du domaine plac dans le groupe Administrateurs de la machine cible, alors lUAC sera outrepass et PSexec excut

11

Conclusion Cette prsentation des modes dutilisation de Mimikatz a permis didentifier les diffrents scnarii dattaques utiliss par les hackers. Grce aux matrices de tests, nous avons pu constater que la dsactivation de lUAC et que lajout dun compte de domaine au sein du groupe Administrateurs ne faisait que dgrader le niveau de scurit du systme. Sous cet angle, il revient aux DSI de mettre en uvre les moyens ncessaires afin de se protger contre cette menace. La mise en place dun SIEM, une sensibilisation des quipes techniques ainsi quun durcissement des systmes dexploitation (prsents dans cet article) constituent un premier pas dans la lutte contre ce type de menace.

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante : m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en dores et dj remerci

PrambuleINDEX1. Environnement de test1.1 Configuration du systme1.2 Configuration de lUAC1.3 Configuration du privilge debug 1.4 Contexte dexcution de lapplication

2. Attaque n 1 : Mimikatz2.1 Contexte2.2 Rsultats des tests2.3 Analyse des rsultats

3. Attaque n 2 : Dump du processus LSASS3.1 Contexte3.2 Rsultats des tests3.3 Analyse des rsultats

4. Attaque n 3 : Meterpreter4.1 Contexte4.2 Rsultats des tests4.3 Analyse des rsultats

Conclusion

Documents

Mimikatz (4/4) : matrice de tests de fonctionnement (tuto de A à Z)