使用 Mimikatz DCSync 窃取用户密码

Mimikatz 提供了多种提取和操作凭证的方法，但最令人担忧的方法之一是 DCSync 命令。使用此命令，攻击者可以模拟域控制器的行为并要求其他域控制器复制信息 - 包括用户密码数据。事实上，攻击者可以获得任何帐户的 NTLM 密码哈希甚至其明文密码，包括 KRBTGT 帐户的密码，这使他们能够创建金票。

如果这还不够糟糕的话，这种攻击无需在域控制器上运行任何代码即可执行，这与 Mimikatz 提供的提取密码数据的其他选项不同。此外，它还利用了 Microsoft 目录复制服务远程协议 (MS-DRSR)，这是 Active Directory 的有效且必要的功能，因此无法关闭或禁用。

谁可以执行 DCSync 攻击？

运行 Mimikatz DCSync 需要具有执行域复制权限的帐户。这是由域上设置的复制更改权限控制的。拥有“复制全部更改”或“复制目录更改”权限将允许您执行此攻击。

默认情况下，这些权限仅限于 Domain Admins、Enterprise Admins、Administrators 和 Domain Controllers 组。要查找可以执行 DCSync 攻击的任何其他帐户，请使用以下 PowerShell 脚本。它将枚举某个域的所有域级权限，并查找被授予这些权限且 RID 高于 1000 的所有帐户，这将排除所有默认权限。

#Get all permissions in the domain, filtered to the two critical replication permissions represented by their GUIDs
Import-Module ActiveDirectory
cd 'AD:DC=JEFFLAB,DC=local' # Replace with distinguished name of your domain
$AllReplACLs = (Get-AcL).Access | Where-Object {$_.ObjectType -eq '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2' -or $_.ObjectType -eq '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2'}

#Filter this list to RIDs above 1000 which will exclude well-known Administrator groups
foreach ($ACL in $AllReplACLs)
{
  $user = New-Object System.Security.Principal.NTAccount($ACL.IdentityReference)
  $SID = $user.Translate([System.Security.Principal.SecurityIdentifier])
  $RID = $SID.ToString().Split("-")[7]
  if([int]$RID -gt 1000)
  {
  Write-Host "Permission to Sync AD granted to:" $ACL.IdentityReference
  }
}

运行此脚本将列出拥有执行 DCSync 攻击所需权限但可能不应该拥有的每个用户和组：

DCSync攻击是如何发起的？

如果您拥有必要的权利，那么剩下的事情就很简单了。只需执行以下命令：

Lsadump::dcsync /domain: /user:

要检索 KRBTGT 帐户的密码哈希，攻击者只需使用以下命令即可：

如果密码以可逆加密方式存储，则将显示明文密码：

组织如何防御 DCSync 攻击？

防止 DCSync 攻击的最佳方法是严格限制哪些帐户有权复制域中的信息。您可以首先针对所有域运行上面提供的脚本，以查找具有执行此攻击的不当权限的任何帐户。此外，实施控制措施来保护需要这些权限的帐户，尤其是避免其密码详细信息被存储在攻击者可能会泄露的地方。

如果检测到 DCSync 攻击，请立即禁用相关帐户，以阻止对手提升权限或对 AD 进行任何其他更改。 Netwrix StealthINTERCEPT 提供阻止策略，可以阻止帐户或工作站执行额外的复制，这可以减缓攻击并为响应者提供更多时间来消除威胁。此外，Netwrix StealthDEFEND 通过提供有关 DCSync 攻击者、源、目标和查询对象的详细信息来支持这些响应步骤。