Penetration Testing mit mimikatz (eBook)
240 Seiten
MITP Verlags GmbH & Co. KG
978-3-7475-0163-4 (ISBN)
- Funktionsweise und Schwachstellen der Windows Local Security Authority (LSA) und des Kerberos-Protokolls
- Alle Angriffe leicht verständlich und Schritt für Schritt erklärt
mimikatz ist ein extrem leistungsstarkes Tool für Angriffe auf das Active Directory. Hacker können damit auf Klartextpasswörter, Passwort-Hashes sowie Kerberos Tickets zugreifen, die dadurch erworbenen Rechte in fremden Systemen ausweiten und so die Kontrolle über ganze Firmennetzwerke übernehmen. Aus diesem Grund ist es wichtig, auf Angriffe mit mimikatz vorbereitet zu sein.
Damit Sie die Techniken der Angreifer verstehen und erkennen können, zeigt Ihnen IT-Security-Spezialist Sebastian Brabetz in diesem Buch, wie Sie Penetration Tests mit mimikatz in einer sicheren Testumgebung durchführen. Der Autor beschreibt alle Angriffe Schritt für Schritt und erläutert ihre Funktionsweisen leicht verständlich. Dabei setzt er nur grundlegende IT-Security-Kenntnisse voraus.
Sie lernen insbesondere folgende Angriffe kennen:
Klartextpasswörter aus dem RAM extrahieren
Authentifizierung ohne Klartextpasswort mittels Pass-the-Hash
Ausnutzen von Kerberos mittels Overpass-the-Hash, Pass-the-Key und Pass-the-Ticket
Dumpen von Active Directory Credentials aus Domänencontrollern
Erstellen von Silver Tickets und Golden Tickets
Cracken der Passwort-Hashes von Service Accounts mittels Kerberoasting
Auslesen und Cracken von Domain Cached Credentials
Darüber hinaus erfahren Sie, wie Sie die Ausführung von mimikatz sowie die Spuren von mimikatz-Angriffen erkennen. So sind Sie bestens gerüstet, um Ihre Windows-Domäne mit mimikatz auf Schwachstellen zu testen und entsprechenden Angriffen vorzubeugen.
Aus dem Inhalt:
Sichere Testumgebung einrichten
Grundlagen der Windows Local Security Authority (LSA)
Funktionsweise des Kerberos-Protokolls
Passwörter und Hashes extrahieren:
Klartextpasswörter
NTLM-Hashes
MS-Cache-2-Hashes
Schwachstellen des Kerberos-Protokolls ausnutzen:
Ticket Granting Tickets und Service Tickets
Encryption Keys
Credentials des Active Directorys
mimikatz-Angriffe erkennen
Invoke-Mimikatz und weiterführende Themen
Praktisches Glossar
Kapitel 3:
Eigene Lab-Umgebung aufbauen
Bevor das Buch in die harten technischen Themen rund um mimikatz und Windows-Domänen-Exploitation abtaucht, möchte ich Ihnen an dieser Stelle noch zeigen, wie einfach es ist, ein eigenes Labor aufzubauen, mit dem Sie alles in diesem Buch Gezeigte nachstellen und hands-on nachvollziehen können.
Achtung: Es handelt sich um ein Labor!
Bitte beachten Sie, dass ich im Folgenden das Setup eines einfachen Labors beschreibe. Mein Anspruch ist es nicht, einen performanten Server für den produktiven Einsatz aufzubauen. Ich verzichte dabei bewusst auf in Firmen unverzichtbare Themen wie Backup, Patch-Management und Sonstiges.
Im Umkehrschluss sollte ein Labor auch als eben solches behandelt und abgeschottet von produktiven Firmennetzwerken entweder zu Hause oder in der Firma hinter einer Firewall betrieben werden. Es sollte weder von außen angreifbar sein noch in den Rest des Netzwerks hinauskommunizieren dürfen.
Gerade im Umgang mit Security-Tools oder gar mit Malware ist besondere Vorsicht geboten. Wenn Sie unsicher sind, ob Sie ein solches Labor in der Firma betreiben dürfen, üben Sie besser zu Hause oder halten vorher mit den zuständigen Personen in Ihrer Firma Rücksprache.
3.1 Ein Labor muss nicht teuer sein
Das Aufbauen eines Labors muss nicht teuer sein! Sie können bei Bedarf viel Geld in Hardware und Lizenzen stecken, wenn Sie das möchten oder besonders hohe Anforderungen haben – es ist aber nicht zwingend notwendig.
Es ist ebenfalls möglich, ein Labor aufzubauen, ohne jegliche Lizenzkosten zu produzieren, und auch auf der Hardwareseite hat sich in den letzten Jahren so viel getan, dass selbst ein fünf Jahre alter ausrangierter PC noch mehr als genug Leistung hat, um drei bis vier virtuelle Maschinen (Windows-Server-VMs) zu starten. Das ist völlig ausreichend, um die grundlegenden Techniken und Funktionen von mimikatz nachzuvollziehen und zu üben.
3.2 Die Hardware
Vermutlich haben Sie einen PC oder ein Laptop mit genug CPU-Leistung, um die notwendigen Windows-Server-VMs laufen zu lassen. Beim Arbeitsspeicher wird es schon etwas problematischer, aber die meisten PCs haben bereits 8 GB oder – noch besser – 16 GB RAM.
Ist das bei Ihnen der Fall, können Sie die Windows-Domäne für dieses Buch einfach mit einem hostbasierten Hypervisor wie VirtualBox, VMware Player/Workstation/Fusion, HyperV, KVM oder vielen weiteren Virtualisierungsprodukten aufbauen.
Fehlen Ihnen die notwendigen Ressourcen oder ist es Ihr Wunsch, die Laborumgebung als eigenständiges System aufzubauen, z.B. um sie auch anderen Personen zur Verfügung zu stellen, empfehle ich Ihnen, einen PC, ein Notebook oder gegebenenfalls auch einen Server mit folgender Ausstattung anzuschaffen:
-
Wählen Sie eine QuadCore-CPU – je stärker, desto besser. Aber auch ein betagter Core i5 oder Core i7 aus den ersten Generationen wird den Job noch mehr als ausreichend erledigen.
-
Ideal sind 16 GB Arbeitsspeicher. Sollte das nicht möglich sein, beispielsweise bei Notebooks, bei denen der Speicher fest verlötet ist oder aufgrund der Bauweise kein Speicher hinzugefügt werden kann, genügen auch 8 GB. Sofern Sie allerdings einen PC oder Server für das Labor nutzen, sollten Sie besser für kleines Geld 16 GB RAM nachrüsten.
-
Festplatten sind für das Labor nicht allzu relevant. Jede betagte SATA-Festplatte wird ausreichen, um einer einzelnen Person ein Labor bereitzustellen. Die VMs werden gegebenenfalls etwas mehr Zeit brauchen, bis sie hochgefahren sind, und Windows wird nicht die perfekte Performance zum täglichen Arbeiten bieten, aber für gezielte mimikatz-Übungen wird es allemal ausreichen. Bedenken Sie aber, dass Sie eine 240-GB-SSD-Festplatte im Internet bereits ab 30 Euro bekommen.
-
Soll das Labor dem Langzeiteinsatz dienen, sollten Sie besser auf etwas hochwertigere Hersteller wie Samsung setzen und die Festplatten im RAID1 spiegeln. Die Festplatten sollten jedoch nicht viel kleiner als 240 GB sein, da selbst eine nackte Windows-Server-Installation bereits sehr viel Speicher belegen kann und ein wenig Spielraum zum Kopieren und Klonen von VMs hilfreich ist!
3.2.1 Kompakt und stromsparend: der HP-MicroServer
Es ist sicherlich nicht das einzige Produkt dieser Klasse am Markt, und ich bekomme leider auch keine Provision von HP dafür, dass ich HP in diesem Buch erwähne, jedoch nutze ich bereits die dritte Generation des HP-MicroServers und bin sehr zufrieden mit dem Preis-Leistungs-Verhältnis.
Über die Jahre gab es bereits einige Versionen des HP-MicroServers, zu denen Sie mit wenig Aufwand Informationen im Internet finden. Da die ersten Versionen des MicroServers aber zum einen nicht genug Leistung bieten und zum anderen gar nicht mehr oder gebraucht nur noch schwer zu bekommen sind, beschränke ich mich in diesem Kapitel auf die aktuell jüngsten beiden Generationen des HP-MicroServers.
HP-MicroServer Gen8 (ca. 2013 bis ca. 2017)
Der HP-MicroServer der 8. Generation wird mittlerweile nicht mehr offiziell von HP vertrieben. Allerdings ist er noch in vielen Onlineshops erhältlich.
Abb. 3.1: Der HP-MicroServer Gen8 geöffnet von vorne
Das Besondere an dieser HP-MicroServer-Generation ist der Umstand, dass er das bis dahin einzige Modell war, bei dem die CPU gesockelt und somit austauschbar ist. Damit ist dieser MicroServer, der mit schwacher DualCore-Celeron-/Pentium-CPU vertrieben wurde, die perfekte Grundlage für eine Intel-Xeon-E3-1220L-CPU, die sich durch ihren geringen Stromverbrauch von 17 Watt bei vergleichsweise trotzdem hoher QuadCore-Performance auszeichnet.
Leider bekommt man diese CPU nicht mehr so einfach wie den aktuellen MicroServer Gen10, aber bei eBay oder anderen Gebrauchthändlern findet man immer mal wieder ein Schnäppchen.
Der HP-MicroServer zeichnet sich durch seine kompakte Bauweise und den niedrigen Stromverbrauch aus. Er hat vier Festplatteneinschübe und einen RAID0+1-Controller onboard, was für ein eigenes Labor perfekt ist, um sowohl performante VMs auf SSDs laufen zu lassen als auch um große Daten auf klassischen Festplatten mit hohen Kapazitäten auszulagern.
Es ist auch möglich, Enterprise-Level-RAID-Controller zu verbauen (Abbildung 3.2), allerdings halten sich die Vorteile in Grenzen, weshalb ich davon abraten würde, sofern Geld für Sie eine Rolle spielt.
Der Stromverbrauch hängt immer von den verbauten Komponenten und der Last der CPU ab. Im Internetforum Hardwareluxx finden Sie jedoch eine Menge detaillierter Erfahrungsreports und Messwerte.
Abb. 3.2: Stromverbrauch des Gen8, gezeigt in einem Internetforum
Dieser sehr umfangreiche Thread ist unter folgender URL zu finden:
HP-MicroServer Gen10 (ca. 2017 bis heute)
Das aktuellste Modell des HP-MicroServers ist der Gen10.
Abb. 3.3: Der aktuellste HP-MicroServer Gen10
Auch dieser ist sehr kompakt aufgebaut.
Abb. 3.4: Herausnehmbares Mainboard beim Gen10
Allerdings ist bei dem neuesten Modell leider die CPU wieder fest auf dem Mainboard verlötet, sodass es nicht mehr möglich ist, diese gegen eine performante, stromsparende CPU auszutauschen. Zwar ist das Modell in zwei Varianten verfügbar, die schnellste Version mit einer Opteron X3421 CPU liegt aber nur knapp über der Geschwindigkeit der Xeon E3-1220L V2 CPU, die sich im Gen8 verbauen ließ. Die günstige Variante des Gen10 mit einer Opteron-X321 CPU bringt sogar lediglich knapp die Hälfte der Leistung.
Die dazugehörigen Benchmarks sind nur oberflächliche Vergleiche und können je nach Use Case und anderen Rahmenbedingungen noch stark abweichen, trotzdem sollten sie einen groben Anhaltspunkt über die Leistung der nun fest verbauten CPUs geben.
Zu finden sind entsprechende Benchmarks auch wieder im passenden Hardwareluxx-Forum-Sammelthread:
https://www.hardwareluxx.de/community/threads/hp-proliant-g10-x3216-x3421-microserver.1165526/
Abschließend möchte ich erwähnen, dass selbst die langsamere Opteron-X3216-CPU noch genügend Leistung bietet, um vier bis fünf Windows-VMs hochzufahren und alles, was in diesem Buch vorgestellt wird, nachzustellen.
Abb. 3.5: Benchmarks der Gen8- und Gen10-CPUs
In beiden MicroServer-Generationen, also Gen8 und Gen10, lassen sich übrigens mittels günstiger passiver 2,5-zu-3,5-Zoll-Adapter auch 2,5-Zoll-SATA-SSD-Festplatten verwenden. Durch die vier verfügbaren Slots ist es so z.B. möglich, ein RAID1 bestehend aus SATA-SSDs für performante VMs zu bauen und ein RAID1 mit herkömmlichen 3,5-Zoll-SATA-Festplatten für große Datenmengen zu erstellen.
Hardwarepreise sind oft schwankend und fallen mit der Zeit. Zur Drucklegung dieses Buchs bekommt man beide Gen10-Varianten etwa zu den Konditionen aus Abbildung 3.6).
Abb. 3.6: Angebote beider Gen10-Varianten bei Amazon Anfang 2019
Wenn Platz und Stromverbrauch nicht die wichtigsten Faktoren sind, können Sie alternativ gerade bei der performanteren Variante auch sehr gut gebrauchte Server- oder Desktop-PCs und Workstations mit höherer Leistung erwerben. Allerdings sollten Sie sich dann vorher bezüglich der Kompatibilität zur einzusetzenden Virtualisierungslösung...
Erscheint lt. Verlag | 19.11.2020 |
---|---|
Reihe/Serie | mitp Professional |
Sprache | deutsch |
Themenwelt | Mathematik / Informatik ► Informatik ► Netzwerke |
Schlagworte | hacken • Hacking • IT-Security • IT-Sicherheit • LASAA-Proezess • NTLM-Hash • Passwort • Passwort-Hash • Penetrationstest • Zugriffsrechte |
ISBN-10 | 3-7475-0163-X / 374750163X |
ISBN-13 | 978-3-7475-0163-4 / 9783747501634 |
Informationen gemäß Produktsicherheitsverordnung (GPSR) | |
Haben Sie eine Frage zum Produkt? |
Größe: 26,9 MB
Digital Rights Management: ohne DRM
Dieses eBook enthält kein DRM oder Kopierschutz. Eine Weitergabe an Dritte ist jedoch rechtlich nicht zulässig, weil Sie beim Kauf nur die Rechte an der persönlichen Nutzung erwerben.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich