Coleta de hashes de senha no Windows - SAM - Security Account Manager

A coleta de hashes de senha ou "dump de credenciais" é uma técnica utilizada durante um pentest com objetivo de obter credenciais válidas em um servidor comprometido e iniciar a movimentação lateral através do acesso a outras máquinas.

No Mitre Att&CK essa técnica é denominada OS Credentials Dumping (T1003) e possui atualmente 8 sub-técnicas para Windows e Linux. A coleta de hashes do SAM é a segunda técnica descrita pelo Mitre. 

Security Account Manager (SAM)

Todas as contas e senhas de usuário local em uma máquina Windows são gerenciadas pelo banco de dados SAM - Security Account Manager. As senhas são armazenadas em forma de hash e validadas pelo LSA - Local Security Authority no processo de logon. O SAM é gerenciado pelo sistema operacional e inicia automaticamente no processo de boot do servidor. 

A técnica mais comum para coletar credenciais do SAM é a técnica in-memory. Quando ganhamos acesso a um servidor windows usando o meterpreter, podemos usar o comando 'hashdump' para coletar todos as credenciais do arquivo SAM. 

Hashdump 


NTLM Hash

Os hashes coletados com o comando hashdump são do tipo NTLM. O NTLM é um protocolo de autenticação nas versões v1 e v2. O processo de autenticação com o NTLM utiliza um mecanismo de desafio/resposta com um servidor local ou com um controlador de domínio para validar as credenciais do usuário. 

A estrutura mostrada pelo hashdump é dividida da sequinte forma: 

  • Administrator (User)
  • 500 (ID)
  • aad3b435b51404eeaad3b435b51404ee (hash nulo - em versões antigas, o hash LM é adicionado neste local)
  • 431aa4d09db71c88a6bce131ed811f9e (hash NTLM) 

Coleta de Hash manualmente 

Nas versões Windows 2003 e Windows XP, o arquivo SAM pode ser copiado através do backup armazenado no diretório repair (C:\WINDOWS\repair)


Donwload com o meterpreter


Usando a ferramenta samdump2 (disponível no Kali) o hash é extraído


Caso o backup dos arquivos sam e system não esteja atualizado algumas credenciais coletadas com o hashdump não serão capturadas nesse processo. 

Por fim, ainda manualmente a partir de uma shell no servidor comprometido, é possível copiar os arquivos sam e system no registro do windows. 

reg save hklm\sam

reg save hklm\system


Com o meterpreter, o download dos arquivos é feito. 



Referências:

[+] OS Credential Dumping (T1003):

https://attack.mitre.org/techniques/T1003/

[+] OS Credential Dumping: Security Account Manager (T1003.002)

https://attack.mitre.org/techniques/T1003/002/    

[+] Meterpreter: 

https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/


Comentários

Postagens mais visitadas