Категория > Новости > Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен - «Новости»

Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен - «Новости»

20-03-2020, 16:08. Автор: Пелагея

Для успешной атаки на Active Directory, захвата рабочих станций и перемещения по сети настоящему хакеру не обязательно владеть учетными данными пользователей. Но иногда без них не обойтись. А чтобы завладеть учеткой, нужно знать, где в сетях с Active Directory обычно хранятся пароли и как их оттуда добыть.

Другие статьи про атаки на Active Directory

Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий

Атаки на Active Directory. Разбираем актуальные методы повышения привилегий

Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен

Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен

Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен

Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен - «Новости»

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи.

Работа с ntds.dit

Файл ntds.dit РїСЂРµРґСЃС‚Р°РІР»СЏРµС‚ СЃРѕР±РѕР№ Р±Р°Р·Сѓ РґР°РЅРЅС‹С…, РІ РєРѕС‚РѕСЂРѕР№ С…СЂР°РЅРёС‚СЃСЏ РёРЅС„РѕСЂРјР°С†РёСЏ Active Directory, С‚Р°РєР°СЏ РєР°Рє СЃРІРµРґРµРЅРёСЏ Рѕ РїРѕР»СЊР·РѕРІР°С‚РµР»СЏС…, РіСЂСѓРїРїР°С… Рё С‡Р»РµРЅСЃС‚РІРµ РІ РіСЂСѓРїРїР°С…. Р‘Р°Р·Р° С‚Р°РєР¶Рµ РІРєР»СЋС‡Р°РµС‚ С…РµС€Рё РїР°СЂРѕР»РµР№ РґР»СЏ РІСЃРµС… РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РІ РґРѕРјРµРЅРµ.

РџРµСЂРІС‹Рј РґРµР»РѕРј СЃР»РµРґСѓРµС‚ РїРѕР»СѓС‡РёС‚СЊ РєРѕРїРёСЋ С„Р°Р№Р»Р° ntds.dit. Он расположен на контроллере домена в директории C:WindowsNTDS. Но просто скопировать его не получится, так как этот файл постоянно используется EFS в Active Directory, и оператор (пентестер, редтимер, злоумышленник или исследователь) рискует получить следующее сообщение об ошибке.

Я расскажу о двух способах скопировать данный файл. Первый способ использует скрипт PowerShell, а второй — копирование с помощью встроенных средств Windows.

Скрипт Invoke-NinjaCopy позволяет копировать любые используемые службами Windows файлы, в том числе и ntds.dit. При этом скрипт не запускает посторонних служб и не внедряется в процессы или контекст System. Этот инструмент получает дескриптор диска, что дает ему право на чтение необработанного массива байтов всего тома. Затем скрипт анализирует структуру NTFS и ищет определенную сигнатуру. Таким образом определяет, где находится файл, и побайтово его копирует. Так можно читать даже файлы, которые блокирует LSASS.

Копирование файла с помощью Invoke-NinjaCopy

Плюс ко всему данный скрипт написан на PowerShell, поэтому запускается из памяти, что позволяет избежать его сохранения на диск.

Второй способ — теневое копирование. Для этого используется установленный в Windows инструмент vssadmin. Сначала следует создать теневую копию с помощью следующей команды:

> vssadmin create shadow /for=C:

Создание теневой копии с помощью vssadmin

А теперь можно копировать оттуда никем не используемый файл ntds.dit.

Перейти обратно к новости