freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

域凭证蜜罐检测
2021-11-02 19:17:58

域凭证蜜罐最早由2016年由 JOE STEWART AND JAMES BETTKE 提出.其核心是利用 CreateProcessWithLogonW API将蜜罐凭证注入到内存中,以帮助运营人员发现异常的蜜罐账户活动.以下将详细介绍这一技术细节.

架构设计

1635851786_61811e0a3e10de6341dcd.png!small?1635851786621

Agent 端

Agent 端主要负责与API服务进行通信,将agent的宿主机信息上报给服务器端,并将服务器端返回的蜜罐凭证数据放入到内存中.

部分代码如下:

func injectCred(user, dm, pw string) uint32 {
	path := "C:\\\\WINDOWS\\\\notepad.exe"

	username := syscall.StringToUTF16Ptr(user)
	password := syscall.StringToUTF16Ptr(pw)
	domain := syscall.StringToUTF16Ptr(dm)
	logonFlags := LOGON_NETCREDENTIALS_ONLY
	applicationName := syscall.StringToUTF16Ptr(path)
	commandLine := syscall.StringToUTF16Ptr(``)
	creationFlags := CREATE_DEFAULT_ERROR_MODE
	environment := ListToEnvironmentBlock(nil)
	currentDirectory := syscall.StringToUTF16Ptr(`C:\\`)

	startupInfo := &syscall.StartupInfo{}
	startupInfo.ShowWindow = ShowWindow
	startupInfo.Flags = startupInfo.Flags | STARTF_USESHOWWINDOW
	processInfo := &syscall.ProcessInformation{}

	_ = CreateProcessWithLogonW(
		username,
		domain,
		password,
		logonFlags,
		applicationName,
		commandLine,
		creationFlags,
		environment,
		currentDirectory,
		startupInfo,
		processInfo)

	return processInfo.ProcessId
}

其原理是调用Windows CreateProcessWithLogonW API,以使用指定的凭据创建新的进程,这样当使用Mimikatz等工具导出系统凭证时,就会显示我们使用CreateProcessWithLogonW注入的凭证了1635851802_61811e1a0c8c8f7b02d8a.png!small?1635851802223

服务端记录下发的凭证数据1635851816_61811e285729c41f92aa8.png!small?1635851816545

检测引擎

当我们需要判断是否有可疑用户使用我们的凭据时,我们需要找到一个点可以帮助我们判断凭证是否泄露了,这块比较合适的位置就是Kerberos AS请求中的预身份验证信息.1635851826_61811e32af5a7a6aa808e.png!small?1635851826927

PA-ENC-TIMESTAMP是由cname账户的NTLM值对时间戳做对称加密得出的值以及使用的对称加密算法的类型这两部分组成.这里我们已知对称加密的方式、对称加密密钥(NTLM),因此如果我们可以成功的还原出数据则代表凭证已经被泄露了.反之则代表是正常行为.1635851842_61811e42e67016395f4ba.png!small?1635851843156

参考文章

dcept - https://www.secureworks.com/blog/dcept

本文作者:, 转载请注明来自FreeBuf.COM

# 内网渗透
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑