| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- x64
- open office xml
- error fix
- error
- hex-rays
- ida
- commandline
- malware
- svn update
- data distribution
- 포인터 매핑
- h5py.File
- debugging
- pytest
- idapro
- ida pro
- NumPy Unicode Error
- Rat
- MySQL
- Python
- ecma
- TensorFlow
- Analysis
- Injection
- why error
- Ransomware
- mock.patch
- javascript
- idapython
- idb2pat
- Today
- Total
13 Security Lab
미미카츠 mimikatz 통해서 RDP ID Password 알아내기 본문
Mimikatz?
메모리에서 해시, PIN, Kerberos 티켓, PW 등을 찾아내 탈취하는 도구. C를 배우고 Windows 보안을 실험하기 위해 만든 도구라고 설명하고있다.
mimikatz 가능한 다른 유용한 기능으로는 Pass-the-Hash, Pass-the-Ticket, Golden tickets 등이 있다. 네트워크 내에서 공격자가 쉽게 활용 할 수 있도록 도구를 제공한다.
mimikatz 개발자 Benjamin Delpy가 개발하였다. 효율적/공격적 Security Tool로써 침투 테스트 용도로 사용한다.
미미캐츠는 사용하기 어렵지 않으며, mimikatz 1.0에는 메타스플로잇(Metasploit)의 일부로 미터프리터 스크립트가 번들로 제공된다. 새로운 mimikatz 2.0 또한 메타스플로잇으로 통합되었다.
mimikatz Windows 버전 (32/64 비트)에 따라 x64또는 Win32, 두 가지 유형으로 제공된다.
Win32 버전은 64 비트 프로세스 메모리 (e.g. lsass.exe )에 액세스 할 수 없지만 Windows 64 비트에서 32bits 미니 덤프를 열 수 있다. mimikatz 기능들이 관리자 권한 또는 SYSTEM 토큰을 필요로한다. 그리고 UAC 수준을 신경써서 실행 할 필요가 있다.
mimikatz 동작 구조
mimikatz 크리덴셜 탈취를 위해 Windows SSO(single-sign-on) 기능을 악용.
윈도우 10 이전까지 윈도우는 기본적으로 WDigest라는 기능이 사용되었다. 이는 암호화된 암호를 메모리에서 로딩 & 복호화하기 위한 비밀 키를 로딩한다. WDigest는 기업이나 정부 네트워크에서 대규모의 사용자를 인증하기 위한 유용한 기능이었지만, mimikatz 메모리에서 암호를 추출하기 위해 사용되었다.
2013년에 MS가 윈도우 8.1에서 이 기능을 비활성화할 수 있도록 했으며, 윈도우 10에서는 비활성화를 기본 설정으로 만들었다. 하지만 여전히 Windows 에는 "WDigest" 가 포함되어있어 관리자 권한을 얻은 공격자들은 간단히 이 기능을 활성화해서 mimikatz 를 실행할 수 있다.
Mimikatz는 Benjamin Delpy (@gentilkiwi)가 C로 코딩 한 Windows x32 / x64 프로그램으로 Windows 자격 증명 (및 개념 증명) 추가 기능을 제공하는 두 가지 선택적 구성 요소는 mimidrv (Windows 커널과 상호 작용하는 드라이버)와 mimilib (AppLocker 우회, 인증 패키지 / SSP, 암호 필터 및 WinDBG 용 sekurlsa)입니다. Mimikatz는 특정 작업을 수행하고 LSASS 프로세스와 상호 작용하기 위해 관리자 또는 SYSTEM이 필요하며 종종 디버그 권한이 필요합니다 (요청 된 작업에 따라 다름). Mimikatz.exe는 거기에 언급 된 모든 기능을 포함하거나 적어도 포함해야한다.
Mimikatz & Credentials:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD)
계정정보를 알아오기 위해 많이 사용하는 mimikatz 툴은 원래 윈도우10에서 실행이 불가했지만 2018년 2월에 업데이트되어 이용이 가능하다
mimikatz Command
log
privilege::debug
sekurlsa::logonpasswords
sekurlsa::tickets /export
sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd
kerberos::list /export kerberos::ptt c:\chocolate.kirbi kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670 /krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi
blog.gentilkiwi.com/mimikatz
