Coleta de hashes de senha no Windows - SAM - Security Account Manager
A coleta de hashes de senha ou "dump de credenciais" é uma técnica utilizada durante um pentest com objetivo de obter credenciais válidas em um servidor comprometido e iniciar a movimentação lateral através do acesso a outras máquinas.
No Mitre Att&CK essa técnica é denominada OS Credentials Dumping (T1003) e possui atualmente 8 sub-técnicas para Windows e Linux. A coleta de hashes do SAM é a segunda técnica descrita pelo Mitre.
Security Account Manager (SAM)
Todas as contas e senhas de usuário local em uma máquina Windows são gerenciadas pelo banco de dados SAM - Security Account Manager. As senhas são armazenadas em forma de hash e validadas pelo LSA - Local Security Authority no processo de logon. O SAM é gerenciado pelo sistema operacional e inicia automaticamente no processo de boot do servidor.
A técnica mais comum para coletar credenciais do SAM é a técnica in-memory. Quando ganhamos acesso a um servidor windows usando o meterpreter, podemos usar o comando 'hashdump' para coletar todos as credenciais do arquivo SAM.
Hashdump
NTLM Hash
Os hashes coletados com o comando hashdump são do tipo NTLM. O NTLM é um protocolo de autenticação nas versões v1 e v2. O processo de autenticação com o NTLM utiliza um mecanismo de desafio/resposta com um servidor local ou com um controlador de domínio para validar as credenciais do usuário.
A estrutura mostrada pelo hashdump é dividida da sequinte forma:
- Administrator (User)
- 500 (ID)
- aad3b435b51404eeaad3b435b51404ee (hash nulo - em versões antigas, o hash LM é adicionado neste local)
- 431aa4d09db71c88a6bce131ed811f9e (hash NTLM)
Coleta de Hash manualmente
Nas versões Windows 2003 e Windows XP, o arquivo SAM pode ser copiado através do backup armazenado no diretório repair (C:\WINDOWS\repair)
Donwload com o meterpreter
Usando a ferramenta samdump2 (disponível no Kali) o hash é extraído
Caso o backup dos arquivos sam e system não esteja atualizado algumas credenciais coletadas com o hashdump não serão capturadas nesse processo.
Por fim, ainda manualmente a partir de uma shell no servidor comprometido, é possível copiar os arquivos sam e system no registro do windows.
reg save hklm\sam
reg save hklm\system
Com o meterpreter, o download dos arquivos é feito.
Referências:
[+] OS Credential Dumping (T1003):
https://attack.mitre.org/techniques/T1003/
[+] OS Credential Dumping: Security Account Manager (T1003.002)
https://attack.mitre.org/techniques/T1003/002/
[+] Meterpreter:
https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/
Comentários
Postar um comentário