DCSync
Основная функция, добавленная в Mimkatz в августе 2015 года, — это «DCSync», которая фактически позволяет атакующему «выдавать себя» за контроллер домена и запрашивать данные пароля учетной записи у целевого контроллера домена. С помощью DCSync, злоумышленник может извлечь хэш пароля, а также предыдущие хэши паролей из контроллера домена по сети без необходимости интерактивного входа или копирования файла базы данных Active Directory (ntds.dit).
Для запуска DCSync требуются специальные права. Любой член группы администраторов, администраторов домена или администраторов предприятия, а также учетные записи контроллеров домена могут запустить DCSync для извлечения данных паролей. Обратите внимание, что контроллерам домена только для чтения по умолчанию не разрешено извлекать данные паролей пользователей.
mimikatz “lsadump::dcsync /domain:rd.adsecurity.org /user:Administrator”
Раздел учетных данных на изображении выше, показывает текущий NTLM хеш, а также историю паролей. Эта информация может быть ценной для злоумышленника, поскольку она может помочь с пониманием стратегии создания паролей для пользователей (в случае взлома).
1) Обнаруживает контроллер домена.
2) Запрашивает у контроллера домена репликацию учетных данных пользователя через GetNCChanges (используя удаленный протокол службы репликации каталогов (DRS))
Описание функции DSGetNCChanges:
«Клиентский контроллер домена отправляет запрос DSGetNCChanges на сервер, когда первый хочет получить обновления объектов AD от второго. Ответ содержит набор обновлений, которые клиент должен применить к своей реплике. Возможно, набор обновлений слишком велик для одного ответного сообщения. В таких случаях выполняется несколько запросов и ответов DSGetNCChanges. Этот процесс называется циклом репликации или просто циклом».
«Когда DC получает запрос DSReplicaSync, то для каждого DC, с которого он реплицируется, он выполняет цикл репликации, где он ведет себя как клиент и отправляет запросы DSGetNCChanges этому DC. Таким образом, он получает обновленные объекты AD с каждого DC».
Можно использовать обычную учетную запись пользователя домена для запуска DCSync. Для успешного извлечения паролей с помощью DCSync на уровне домена необходимо делегировать комбинацию следующих трех прав:
1) Replicating Directory Changes (DS-Replication-Get-Changes)
2) Replicating Directory Changes All (DS-Replication-Get-Changes-All)
3) Replicating Directory Changes In Filtered Set
Сегодня, DCSync атаку можно провести с помощью множества инструментов, например crackmapexec, netexec, metasploit и т.д.