1. NTLM認証の仕組み
- Windowsの仕組みとして、SAM(Security Account Manager)データベースにパスワードのハッシュ値(LMとNTLM)が保存されている。
- SAMデータベースの実体はファイルであり、C:\WINDOWS\system32\configの中に保存されている。
- 通常、Windows起動中に開いたりコピーできないようになっているが、ツールを用いることによりハッシュ値をダンプできる。
- 正しくは直接アクセスできないため、DLL Injectionという手法を用いて、SAMファイルへのアクセスを許可された特殊なプロセスからハッシュを取得する。
- PwDump
- Ophcrack
- 正しくは直接アクセスできないため、DLL Injectionという手法を用いて、SAMファイルへのアクセスを許可された特殊なプロセスからハッシュを取得する。
- http://www.byakuya-shobo.co.jp/hj/moh3/pdf/moh3_p174_177.pdf
- http://d.hatena.ne.jp/softether/touch/20130821/p1
2. LSA
- LSA (Local Security Authority)は、Windowsのセキュリティに関するサブシステムであり、ユーザーの資格情報を管理しており、メモリ上にパスワードハッシュなどを保持している。
- これらの情報の窃取を防ぐために、LSAの保護モードを有効化することができる。
- https://blogs.jpcert.or.jp/ja/2016/09/lsa_protect.html
- lsass.exe
- Local Security Authority Subsystem Service
- ユーザーアカウントの管理やログオン認証を実施している。
- https://wa3.i-3-i.info/word13468.html
3. mimikatz
- 実行には管理者権限が必要である。
- Windowsの仕組みを利用し、ハッシュ値等をダンプする。
- ダンプする際のソースはいくつか指定することができる。
- SAM
- mimikatz # lsadump::sam
- LSA
- mimikatz # lsadump::lsa /id:
- dcsync
- SAM
- https://github.com/gentilkiwi/mimikatz/wiki/module-~-lsadump
- ダンプする際のソースはいくつか指定することができる。
- https://www.iij.ad.jp/dev/tech/techweek/pdf/171108_02.pdf
4. Pass-The-Hash
- Windowsの仕組みを利用した手法。
- NTLMハッシュ等を活用する。