Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен

Для успешной атаки на Active Directory, захвата рабочих станций и перемещения по сети настоящему хакеру не обязательно владеть учетными данными пользователей. Но иногда без них не обойтись. А чтобы завладеть учеткой, нужно знать, где в сетях с Active Directory обычно хранятся пароли и как их оттуда добыть.

Другие статьи про атаки на Active Directory

  • Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий
  • Атаки на Active Directory. Разбираем актуальные методы повышения привилегий
  • Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен
  • Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен
  • Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен

    •  

    Работа с ntds.dit

    Файл ntds.dit представляет собой базу данных, в которой хранится информация Active Directory, такая как сведения о пользователях, группах и членстве в группах. База также включает хеши паролей для всех пользователей в домене.

    Первым делом следует получить копию файла ntds.dit. Он расположен на контроллере домена в директории C:WindowsNTDS. Но просто скопировать его не получится, так как этот файл постоянно используется EFS в Active Directory, и оператор (пентестер, редтимер, злоумышленник или исследователь) рискует получить следующее сообщение об ошибке.

    Ошибка копирования файла ntds.dit

    Я расскажу о двух способах скопировать данный файл. Первый способ использует скрипт PowerShell, а второй — копирование с помощью встроенных средств Windows.

    Скрипт Invoke-NinjaCopy позволяет копировать любые используемые службами Windows файлы, в том числе и ntds.dit. При этом скрипт не запускает посторонних служб и не внедряется в процессы или контекст System. Этот инструмент получает дескриптор диска, что дает ему право на чтение необработанного массива байтов всего тома. Затем скрипт анализирует структуру NTFS и ищет определенную сигнатуру. Таким образом определяет, где находится файл, и побайтово его копирует. Так можно читать даже файлы, которые блокирует LSASS.

    Копирование файла с помощью Invoke-NinjaCopy

    Плюс ко всему данный скрипт написан на PowerShell, поэтому запускается из памяти, что позволяет избежать его сохранения на диск.

    Второй способ — теневое копирование. Для этого используется установленный в Windows инструмент vssadmin. Сначала следует создать теневую копию с помощью следующей команды:

    > vssadmin create shadow /for=C:

    Создание теневой копии с помощью vssadmin

    А теперь можно копировать оттуда никем не используемый файл ntds.dit.

    Источник: xakep.ru

    Читайте также:

    Ответить

    Ваш адрес email не будет опубликован. Обязательные поля помечены *