Professional Documents
Culture Documents
test de fonctionnement
(v1.13)
Tutorial conu et rdig par Michel de CREVOISIER - octobre 2014
ARTICLES ASSOCIES
Prambule
Dans un article prcdent, nous prsentions le logiciel Mimikatz ainsi que son module sekurlsa
capable de rcuprer les mots de passe Windows en mmoire. Cependant, et comme le
dmontreront les tests raliss la suite, les conditions requises pour russir cet exploit varient selon
la configuration et les systmes de scurit du systme dexploitation.
Lobjectif de cet article est donc de mettre en lumire les diffrents modes opratoires employs par
les hackers afin de renforcer la ncessit de mise en uvre de moyens de protection adquats. Cest
pourquoi nous tudierons la suite les conditions de russite ncessaires la ralisation de ces 3
attaques bases sur Mimikatz :
Attaque 1 : Mimikatz
Attaque 2 : Dump local ou distance du processus LSASS
Attaque 3 : Excution dun shellcode local ou distance via Metasploit et Meterpreter
INDEX
Prambule ........................................................................................................................................................... 2
INDEX................................................................................................................................................................... 3
1.
2.
3.
4.
1.2
1.3
1.4
Contexte .............................................................................................................................................. 6
2.2
2.3
Contexte .............................................................................................................................................. 7
3.2
3.3
Attaque n3 : Meterpreter.......................................................................................................................... 9
4.1
Contexte .............................................................................................................................................. 9
4.2
4.3
Conclusion ......................................................................................................................................................... 11
1. Environnement de test
1.1 Configuration du systme
Lenvironnement suivant a t utilis pour mener bien les tests :
Systme dexploitation Windows 7 x64 SP1 avec les correctifs de septembre 2014
Configuration du pare-feu par dfaut (filtrage en entre uniquement) et activation du
Partage de fichiers et dimprimantes
Dsactivation de lantivirus Windows Defender pour viter les faux-positifs
Activation de la DEP ( Data Execution Prevention ) pour tous les programmes et services
Utilisation dun compte avec des privilges dadministration pour lensemble des tests,
laissant supposer que les identifiants appartiennent :
o Un utilisateur (local ou du domaine) disposant des droits administrateurs sur son poste
o Un administrateur systme disposant des accs un serveur (ex : contrleur de
domaine, serveur Remote Desktop Service , serveur de base de donnes, )
o Un attaquant ayant russi rcuprer un identifiant (local ou du domaine) dun
utilisateur
2. Attaque n1 : Mimikatz
2.1 Contexte
Cette attaque savre dune simplicit enfantine. Il suffit en effet de tlcharger lapplication
Mimikatz sur le site officiel et dexcuter le module sekurlsa sur un poste pour rcuprer les mots
de passe contenus en mmoire du processus LSASS.
En excutant lapplication Mimikatz avec le privilge system , les restrictions dfinies par
le mode debug sont outrepasses et les mots de passe en mmoire rcuprs
En excutant lapplication Mimikatz en tant quadministrateur local mais sans le privilge
debug , il est impossible de rcuprer les mots de passe en mmoire
Lactivation de lUAC permet de limiter laccs aux droits dadministrateur par lapplication
Mimikatz uniquement si elle nest pas excute via laction : clic droit > Excuter en tant
quadministrateur
En excutant lapplication Procdump avec le privilge system , les restrictions dfinies par
le mode debug sont outrepasses et le dump du processus LSASS effectu
En excutant lapplication Procdump en tant quadministrateur local mais sans le privilge
debug , il est impossible de raliser un dump du processus LSASS
LUAC empche lutilisation du logiciel PSexec uniquement sil est utilis avec un compte local
membre du groupe Administrateurs de la machine cible. Sil est utilis avec un compte du
domaine plac dans le groupe Administrateurs de la machine cible, alors lUAC sera
outrepass et PSexec excut
4. Attaque n3 : Meterpreter
4.1 Contexte
Pour mener bien cette attaque, lattaquant doit prparer un shellcode (ou programme de
contrle distance) qui devra tre excut sur le poste de la victime. Pour excuter ledit programme,
lattaquant dispose de deux techniques :
La premire, dite locale, consiste faire excuter le shellcode par la victime
La seconde, dite distante, consiste excuter le shellcode via loutil PSexec
Un article dtaillant la dmarche adopter pour lutilisation de ces deux mthodes est disponible ici.
10
Conclusion
Cette prsentation des modes dutilisation de Mimikatz a permis didentifier les diffrents scnarii
dattaques utiliss par les hackers. Grce aux matrices de tests, nous avons pu constater que la
dsactivation de lUAC et que lajout dun compte de domaine au sein du groupe Administrateurs
ne faisait que dgrader le niveau de scurit du systme.
Sous cet angle, il revient aux DSI de mettre en uvre les moyens ncessaires afin de se protger
contre cette menace. La mise en place dun SIEM, une sensibilisation des quipes techniques ainsi
quun durcissement des systmes dexploitation (prsents dans cet article) constituent un premier
pas dans la lutte contre ce type de menace.
11