从 Ntds.dit 文件中提取密码哈希值

由于人们对基于凭证的攻击（例如哈希传递 (PtH) 和票证传递 (PtT)）给予了如此多的关注，因此更严重和有效的攻击常常被忽视。 其中一种攻击涉及从 Active Directory 域控制器中窃取 Ntds.dit 文件。 让我们看看这种威胁会带来什么、如何执行攻击以及如何保护您的组织。

什么是 Ntds.dit 文件？

Ntds.dit 文件是一个存储 Active Directory 数据的数据库，包括有关用户对象、组和组成员身份的信息。

重要的是，该文件还存储域中所有用户的密码哈希值。提取这些哈希值的网络犯罪分子可以使用 Mimikatz 等工具执行 PtH 攻击，或者使用 Hashcat 等工具离线破解密码。 事实上，一旦攻击者提取了哈希值，他们就可以充当域中的任何用户 - 包括域管理员。

对 Ntds.dit 文件的攻击是如何进行的？

步骤1.窃取Ntds.dit文件。

第一步是获取 Ntds.dit 的副本。这并不像听起来那么简单，因为该文件不断被 AD 使用，因此被锁定。 如果您尝试简单地复制该文件，您将看到如下错误消息：

有多种方法可以使用 Windows 内置功能或 PowerShell 库来解决此障碍。例如，攻击者可以：

1. 通过 VSSAdmin 命令使用卷影副本
2. 使用PowerSploit渗透测试PowerShell模块
3. 利用作为 Active Directory 一部分提供的 NTDSUtil 诊断工具
4. 如果域控制器作为虚拟机运行，则利用快照

让我们来看看前两种方法。

使用VSSAdmin窃取Ntds.dit文件

步骤 1. 创建卷影副本：

步骤 2. 从卷影副本中检索 Ntds.dit 文件：

步骤 3. 从注册表或卷影副本复制 SYSTEM 文件，因为它包含稍后解密 Ntds.dit 文件所需的启动密钥：

第 4 步：掩盖踪迹：

使用PowerSploit NinjaCopy窃取Ntds.dit文件

PowerSploit 是一个 PowerShell 渗透测试框架，包含可用于利用 Active Directory 的各种功能。 Invoke-NinjaCopy 模块通过读取原始卷从 NTFS 分区卷复制文件，这使得攻击者能够访问由 Active Directory 锁定的文件，而无需通知任何监控系统。

步骤 2. 提取密码哈希值

一旦攻击者获得了 Ntds.dit 文件的副本，下一步就是从中提取密码哈希值。 DSInternals 提供了一个 PowerShell 模块，可用于与 Ntds.dit 文件进行交互；以下是如何使用它来提取密码哈希值：

步骤 3. 使用密码哈希完成攻击。

一旦攻击者从 Ntds.dit 文件中提取了密码哈希值，他们就可以使用 Mimikatz 等工具来执行哈希传递 (PtH) 攻击。此外，他们还可以使用 Hashcat 等工具来破解密码并获取其明文值。一旦攻击者获得了这些凭据，他们就可以使用这些凭据进行任何操作。

组织如何防范 Ntds.dit 文件受到攻击？

保护您的组织免受此攻击的最佳方法是限制可以登录到域控制器的用户数量，其中不仅包括高特权组（例如域管理员和企业管理员）的成员，还包括特权较低组（例如打印）的成员操作员、服务器操作员和帐户操作员。所有这些团体的成员资格都应受到严格限制，不断监测变化并经常重新认证。

此外，请考虑使用监控软件，该软件可以向用户发出警报，甚至阻止用户从卷影副本中检索文件。

Netwrix 解决方案如何提供帮助

Netwrix 提供了一种多层方法来防御 Ntds.dit 密码提取攻击。

检测窃取 Ntds.dit 文件的尝试

Netwrix StealthDEFEND 是检测 Ntds.dit 密码提取攻击的有效工具。它不断查找 Ntds.dit 文件上的意外访问事件，包括：

• 直接访问文件系统上的文件 - 由于 Ntds.dit 文件在使用时被 Active Directory 锁定，因此攻击者通常无法在不停止 Active Directory 服务的情况下获取该文件。通过用户帐户监视成功和拒绝的访问事件可以对不需要的访问尝试提供有意义的洞察，因为 AD 服务作为本地系统运行。
• 通过卷影副本访问 Ntds.dit 文件 — 即使 Ntds.dit 文件被锁定，攻击者也能够创建整个驱动器的卷影副本，并从卷影副本中提取 Ntds.dit 文件。卷影副本。

阻止对 Ntds.dit 文件的访问

Netwrix StealthINTERCEPT 可以阻止对文件系统上的 Ntds.dit 文件的直接访问以及通过卷影副本对其进行访问。因此，即使攻击者停止 Active Directory 来解锁该文件并拥有完全的管理权限，他们也无法直接访问该文件。

主动减少攻击面

Netwrix StealthAUDIT 可帮助您检查和控制有权访问域控制器的管理组，例如域管理员和服务器操作员。通过严格限制这些组的成员身份，可以降低攻击者访问 Ntds.dit 文件的风险。