欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

防御Mimikatz攻击的方法介绍

来源:本站整理 作者:佚名 时间:2018-08-21 TAG: 我要投稿

简单介绍 Mimikatz 攻击
Mimikatz 在内网渗透测试中发挥着至关重要的作用,主要是因为它能够以明文形式从内存中提取明文密码。众所周知,攻击者在他们的渗透中大量使用 Mimikatz,尽管微软推出了安全补丁,但是在较旧的操作系统(如 Windows 2008 Server)中 Mimikatz 仍然有效,所以在很多情况下它可能导致横向移动和域权限提升。值得注意的是,如果 Mimikatz 是从本地管理员等权限执行的,则它只能导出用户凭据和密码哈希值。
下面通过几种方法来防御 Mimikatz 攻击:
Debug 权限设置
根据 Microsoft 的调试权限确定哪些用户可以将调试器附加到任何进程或内核。默认情况下,此权限授予本地管理员。然而,除非他是系统进程,否则本地管理员极不可能需要此权限。

本地管理员-调试权限
在默认安装的 Windows Server 2016 系统中,未定义调试权限的组策略,这意味着只有本地管理员具有此权限。

调试权限 – 组策略
从攻击者的角度来看,可以通过使用 Mimikatz 以下命令执行此检查:
privilege::debug

检查调试权限
Mimikatz 需要此权限,因为它要与 LSASS 进程交互。因此,将此权限仅设置为需要这权限的特定用户或组,并将其从本地管理员中删除是非常重要。可以通过将策略定义为不包含任何用户或组来禁用 SeDebugPrivilege。
Group Policy Management Editor -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Debug programs -> Define these policy settings:

禁用 SeDebugPrivilege

Mimikatz-禁用调试权限
WDigest
WDigest 协议是在 WindowsXP 中被引入的,旨在与 HTTP 协议一起用于身份认证。默认情况下,Microsoft 在多个版本的 Windows(Windows XP-Windows 8.0 和 Windows Server 2003-Windows Server 2012)中启用了此协议,这意味着纯文本密码存储在 LSASS(本地安全授权子系统服务)进程中。Mimikatz 可以与 LSASS 交互,允许攻击者通过以下命令检索这些凭据:
sekurlsa::wdigest

Mimikatz — WDigest
Microsoft 在 Windows8.1,Windows 10,Windows Server 2012 R2 和 Windows Server 2016 系统中默认禁用此协议。但是,如果您的组织使用较旧的操作系统(如 Windows 7 和 Windows Server 2008 等),Microsoft 已发布了一个补丁(KB2871997),允许管理员启用或禁用 WDigest 协议。打完补丁后,建议验证是否已经从注册表中禁用 WDigest。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

WDigest-禁用
Negotiate 和 UseLogonCredential 注册表项值应设置为 0 可以完全禁用此协议。应该注意的是,在较新的操作系统(Windows Server 2016,Windows 10 等)中,UseLogonCredential 注册表项不存在。当然,具有本地管理员权限的攻击者可以修改注册表以启用 WDigest 并获取凭据,因为 Dave Kennedy 在他的博客中对此进行了大量解释。因此,如果在禁用此协议后将这些值设置为 1,则表明存在攻击。应该不断监视注册表修改,以便在早期阶段获得警报并捕获威胁。
如果我们禁用此协议,攻击者尝试从 WDigest 检索纯文本凭据将失败:

Mimikatz-WDigest 已禁用
LSA 保护
本地安全权限服务(LSASS)验证用户是否进行本地和远程登录,并实施本地安全策略。Windows 8.1 及更高版本的系统中,Microsoft 为 LSA 提供了额外的保护,以防止不受信任的进程读取内存或代码注入。Windows 8.1 之前的系统,攻击者可以执行 Mimikatz 命令来与 LSA 交互并检索存储在 LSA 内存中的明文密码。
sekurlsa::logonPasswords

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载