More Related Content Similar to Your hash is. (7) More from abend_cve_9999_0001 More from abend_cve_9999_0001 (20) Your hash is.32. systeminfoの実行結果を一部抜粋。
E_md4hash wrapper called.
HASH PASS: Substituting user supplied NTLM HASH...
E_md4hash wrapper called.
HASH PASS: Substituting user supplied NTLM HASH...
E_md4hash wrapper called.
HASH PASS: Substituting user supplied NTLM HASH...
ホスト名: WIN-DLVVSFQ046U
OS 名: Microsoft Windows Server 2016 Standard
Evaluation
OS バージョン: 10.0.14393 N/A ビルド 14393
OS 製造元: Microsoft Corporation
OS 構成: スタンドアロン サーバー
OS ビルドの種類: Multiprocessor Free
32
Windows Server 2016
38. メモリ上の情報
メモリ上にはパスワードそのものが存在
している。
msv :
[00010000] CredentialKeys
* NTLM : 217e50203a5aba59cefa863c724bf61b
* SHA1 : ba380c17a7b2e0233a89896e6b4d412ced541c40
[00000003] Primary
* Username : Administrator
* Domain : VirSnow
* NTLM : 217e50203a5aba59cefa863c724bf61b
* SHA1 : ba380c17a7b2e0233a89896e6b4d412ced541c40
tspkg :
wdigest :
* Username : Administrator
* Domain : VirSnow
* Password : P@ssw0rd!
38
46. Windows資格情報
credman :
[00000000]
* Username : xxx
* Domain : http://xxx.com
* Password : xxx
[00000001]
* Username : admin
* Domain : test.com
* Password : admin
[00000002]
* Username : VIRSNOWabend
* Domain : VIRSNOWabend
* Password : P@ssw0rd!
メモリ上からパスワードの抽出が可能。
46
58. Anti Virus製品
攻撃ツール自体は検知されるが、バイパ
スする方法だと検知されずに実行可能。
HASH PASS: Substituting user supplied NTLM HASH...
E_md4hash wrapper called.
HASH PASS: Substituting user supplied NTLM HASH...
E_md4hash wrapper called.
HASH PASS: Substituting user supplied NTLM HASH...
****** 一部省略 *******
Authentication Id : 0 ; 342630 (00000000:00053a66)
Session : Interactive from 1
User Name : Administrator
Domain : VirSnow
SID : S-1-5-21-724436814-143641613-1275184040-500
msv :
[00010000] CredentialKeys
* NTLM : 217e50203a5aba59cefa863c724bf61b
* SHA1 : ba380c17a7b2e0233a89896e6b4d412ced541c40
58
65. LSA Protection Mode
Windows 10などでLSA Protection
Modeを有効化している場合、lsass.exe
にアクセス(ダンプ)できなくなる。
Error opening lsass.exe (788):
????????????? (0x00000005, 5)
65
69. まとめ
• どんなに複雑でもPass the Hashには関係
ない。
• UACはちゃんと有効化しようね。
• Builtin Administraotrは無効化しよう。
• 無駄な認証情報は残さない。
• Anti Virus製品だけではなく、URLフィル
タなど多層防御が重要だと思う。
• Windows 10とか結構いいと思う。
• LSA Protection Modeは有効化しよう。
69