使用 Mimikatz 操纵用户密码

使用 Mimikatz 中的 ChangeNTLM 和 SetNTLM 命令，攻击者可以操纵用户密码并提升其在 Active Directory 中的权限。让我们看一下这些命令以及它们的作用。

更改NTLM

ChangeNTLM 命令执行密码更改。要使用此命令，您需要知道帐户的当前密码或其 NTLM 密码哈希值，这比明文密码更容易窃取。 默认情况下，更改用户密码的能力被授予Everyone，因此任何用户都可以执行此命令，无需特殊权限。

以下是使用命令更改仅知道当前密码哈希的用户密码的示例：

这将在域控制器事件日志中生成事件 ID 4723。

设置NTLM

该命令执行密码重置。执行它不需要您知道用户的当前密码，但它确实要求您拥有该帐户的“重置密码”权限，默认情况下并未授予“每个人”。

以下是使用命令重置用户密码的示例：

这将在域控制器事件日志中生成事件 ID 4724。

攻击场景：ChangeNTLM

泄露用户的密码哈希使攻击者能够执行哈希传递攻击。然而，这些攻击通常仅限于对系统和应用程序的命令行访问。要登录 Outlook Web Access (OWA)、SharePoint 或远程桌面会话，攻击者可能需要用户的明文密码。他们可以通过四个快速步骤执行攻击并掩盖他们的踪迹：

1. 泄露帐户的 NTLM 哈希值。
2. 使用哈希更改密码。
3. 使用新的明文密码访问所需的应用程序或服务。
4. 使用窃取的哈希值将密码设置回之前的值。

这种攻击对于进一步利用受感染的帐户非常有用。

攻击场景：SetNTLM

在这种情况下，攻击者已经破坏了具有有限域访问权限的帐户和 .利用该攻击路径涉及重置用户密码以接管其帐户，但攻击者不想提醒用户他们的帐户已因更改密码而受到损害。一旦目标受到威胁，攻击者如何重置用户的密码并将其恢复为旧值？输入设置NTLM。

攻击者可以遵循以下基本路径：

1. 使用 Bloodhound 识别利用 Active Directory 权限和密码重置的攻击路径。
2. 利用攻击路径，根据需要重置密码。
3. 实现特权访问后，使用 Mimikatz 提取所有受感染帐户的 NTLM 密码历史记录。
4. 使用 SetNTLM 将以前的 NTLM 哈希应用于帐户，将密码设置回原来的状态。

注意：可以使用 DSInternals Set-SamAccountPasswordHash 命令完成相同的操作。

例子

假设我们有以下攻击路径，通过三次密码重置将我们从当前用户带到域管理员：

现在我们知道哪些帐户需要受到攻击，我们希望尽快执行攻击，以免惊动任何用户。我们可以使用一些基本的 PowerShell 编写密码重置攻击路径的脚本。以下脚本将获取密码并跟踪攻击链，一路模拟每个受感染的用户，直到达到域管理员的目标：

接下来，我们将以域管理员身份启动一个新的 PowerShell 会话，并执行 DCSync 操作以获取所有帐户的 NTLM 密码历史记录：

从那里，我们将使用 SetNTLM 命令将密码设置回以前的值：

现在你就得到了它。我们现在已经成为域管理员，并尽可能地覆盖我们的踪迹，以避免用户意识到他们的帐户在此过程中已被泄露。

检测和防止 SetNTLM 和 ChangeNTLM 攻击

检测攻击

如果攻击者使用ChangeNTLM攻击，这将生成4723事件，但主题和目标帐户将不同，如下所示。这将与用户自行执行的正常密码更改区分开来，在正常密码更改中，两个值将是相同的。如果管理员要重置密码，他们将执行重置并生成 4724 事件。

防止攻击

为了降低执行 SetNTLM 攻击的风险，请控制目录中的密码重置权限。为了降低 ChangeNTLM 攻击的风险，请控制用户哈希的存储方式和位置。

Netwrix 如何提供帮助

Netwrix Active Directory 安全解决方案可帮助您端到端地保护您的 Active Directory — 从突出显示当前 AD 设置中的安全漏洞到实时检测复杂的攻击并立即响应威胁。它可以帮助您确保所有身份、它们提供访问权限的敏感数据以及底层 AD 基础设施都是干净的、易于理解的、正确配置的、严密监控和严格控制的，让您的生活更轻松，组织更安全。