АЗКСоВВ лаб 4
.docxМинистерство цифрового развития, связи И массовых коммуникаций российской федерации
Ордена Трудового Красного Знамени федеральное государственное бюджетное образовательное учреждение высшего образования
МОСКОВСКИЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
СВЯЗИ И ИНФОРМАТИКИ
Кафедра «Математическая кибернетика и информационные технологии»
(МКиИТ)
Лабораторная работа №4
по дисциплине «Анализ защищенности корпоративных сетей от внешних вторжений»
Выполнила:
Студент группы: БВТ2151
ФИО:
Проверил:
Москва, 2025
Лабораторная работа № 4
Перемещение по корпоративной сети Windows
Цель работы - узнать, где хранятся пароли, а также научиться извлекать хеши паролей из памяти машины Windows.
1.1 Постановка задачи
Создание виртуальной лаборатории Windows;
Извлечение хешей паролей с помощью mimikatz;
Передача хеша по протоколу NT LAN Manager.
1.2 Теоретические сведения
Для создания виртуальной лаборатории Windows необходимо будет создать и настроить виртуальную машину под управлением этой ОС. Windows – это семейство операционных систем, разработанных компанией Microsoft, ориентированных на управление с помощью графического интерфейса.
Mimikatz – это программа, которая содержит набор инструментов, помогающих извлекать хеши из памяти процесса LSASS и позволяет пользователям просматривать и сохранять учётные данные аутентификации. LSASS – это сервис проверки подлинности локальной системы безопасности. Этот процесс содержит хеши паролей и токены безопасности, а также управляет процессом аутентификации и взаимодействия контроллером домена. Специалисты по тестированию на проникновение используют Mimikatz для обнаружения и тестирования уязвимостей в сетях, чтобы их в дальнейшем устранить.
NT LAN Manager (NTLM) - это протокол Windows, позволяющий пользователям аутентифицироваться на других компьютерах в сети, используя хеш своего пароля.
ХОД РАБОТЫ
Скачаем ISO-образ Windows и создадим новую виртуальную машину в Virtual Box. Укажем имя Windows, выделим 32 Гбайт дискового пространства и 2 Гбайт ОЗУ, а также создадим учётную запись пользователя с правами администратора.
Рис. 1 – Конфигурация виртуальной машины
Рис. 2 – Оперативная память виртуальной машины
Рис. 3 – Настройка параметров виртуального жесткого диска
Рис. 4 – Запуск виртуальной машины Windows
Отключим антивирус и скачаем mimikatz.exe на виртуальную машину Windows. Откроем консоль PowerShell от имени администратора и введём команду whoami /groups, чтобы просмотреть группы пользователей и убедиться, что пользователь обладает правами администратора.
Рис. 5 – Вывод информации о группах пользователей
Прейдём в папку, содержащую файл mimikatz, и запустим его. Прикажем mimikatz запросить привилегии отладки, это позволит процессу mimikatz подключить отладчик к процессу LSASS для извлечения содержимого его памяти.
Рис. 6 – Запуск mimikatz и получение привилегий отладки
Чтобы извлечь хеши в OC Windows необходимо создать дамп памяти процесса LSASS, который содержит хеши паролей и токены безопасности, а также управляет процессом аутентификации и взаимодействия контроллером домена. Программа mimikatz содержит набор инструментов, помогающих извлекать хеши из памяти процесса LSASS. Используем для этого модуль sekurlsa.
Рис. 7 – Извлечение хешей из памяти
Выполним атаку типа pass-the-hash (передача хеша), предполагающую эксплуатацию протокола Windows NT LAN Manager. Для реализации такой атаки злоумышленнику всего лишь необходим хеш, извлеченный из памяти компьютера, для прохождения аутентификации с помощью контроллера домена. Загрузим с помощью программы mimikatz один из хешей, извлеченных из памяти процесса LSASS, получив доступ к ресурсам выбранного пользователя. Введём извлеченные имя пользователя, домен и NTLM-хеш пароля.
Рис. 8 – Выполнение атаки типа pass-the-hash
ВЫВОД
В данной лабораторной работе я узнала, где хранятся пароли в OC Windows и научилась извлекать хеши паролей из памяти машины Windows. В ходе выполнения работы я создала вируальную лаборатории Windows, ознакомилась с программой mimikatz и успешно извлекла хеши паролей с помощью неё, а также передала хеш по протоколу NT LAN Manager.
Рассмотренная в ходе выполнения лабораторной работы уязвимость передачи хеша позволяет злоумышленнику извлекать исходные данные пользователей, перемещаться по корпоративной сети Windows и получать доступ к ресурсам её пользователей, что угрожает безопасности сети.
ОТВЕТЫ НА КОНТРОЛЬНЫЕ ВОПРОСЫ
1. Где и как хранятся пароли в ОС Windows?
Ответ: В ОС Windows пароли хранятся в виде хешей в процессе LSASS.
2. Что такое контроллер домена?
Ответ: Контроллер домена представляет собой сервер, отвечающий за хранение информации о пользователях и управление политикой сетевой безопасности.
3. Как происходит передача хеша по протоколу NT LAN Manager?
Ответ: При аутентификации в системе компьютер сохраняет имя пользователя и хеш пароля, после чего удаляет пароль в виде открытого текста. Когда пользователь пытается получить доступ к серверу или сетевой папке, операционная система отправляет этому серверу соответствующее имя пользователя. В ответ сервер отправляет вызов в виде 16-байтового nonce-числа, которое потом шифруется клиентом с помощью хеша пароля пользователя и отправляется серверу. Затем сервер пересылает имя пользователя, ответ и вызов контроллеру домена. Контроллер домена проверяет ответ на вызов, сопоставляя с хешем пароля пользователя в базе данных и использует этот хеш для расшифровки nonce-числа, содержащегося в ответе на вызов. Если nonce-числа совпадут, то контроллер домена отправляет серверу сообщение о том, что аутентифицировал пользователя, и тогда сервер предоставит пользователю доступ.
4. Какие данные мы можем извлечь из памяти процесса LSASS?
Ответ: Из памяти процесса LSASS можно извлечь учётные данные, хеши паролей и токены безопасности.
5. Что такое привилегии отладки и для чего они нужны?
Ответ: Привилегии отладки (debug) – это политика безопасности, позволяющая процессу или пользователю подключаться к другим процессам и отлаживать их, включая системные службы, даже если у него нет на это обычных разрешений. Они нужны для глубокой отладки системных компонентов, приложений, работающих от имени других пользователей, или удаленных служб. Привилегии отладки позволяют такому процессу, как mimikatz, подключить отладчик к процессу LSASS для извлечения содержимого его памяти.
6. Как можно устранить уязвимость, эксплуатируемую в данной работе?
Ответ: Чтобы устранить уязвимость pass-the-hash можно использовать Windows Defender Credential Guard – технологию, которая защищает учётные данные от кражи и использования в Pass-the-Hash атаках. Также можно использовать Kerberos аутентификацию вместо NTLM, которая менее уязвима к PtH-атакам, либо запретить передачу хешей в групповых политиках.