Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
mayo
(Total:
67
)
- Herramientas ingeniería inversa: análisis de malwa...
- Campaña de publicidad maliciosa en Google con en e...
- Alternativas a la red TOR y a su navegador
- Auditoría de seguridad VoIP de Asterisk con Metasp...
- Historia del primer ataque de ransomware realizado...
- INCIBE publica Glosario de Términos de Ciberseguridad
- El FBI compartirá contraseñas robadas en ataques a...
- El mercado ruso Hydra DarkNet ganó más de 1.3 bill...
- Malware para macOS permite tomar capturas de panta...
- El fabricante de audio Bose revela una violación d...
- Ministerio del Interior Belga fue objetivo de un "...
- bettercap: la navaja suiza del tráfico de red
- Vulnerabilidad crítica en HTTP (http.sys) afecta I...
- Dos niños cortan Internet de la casa de la profeso...
- Remmina: cliente de escritorio remoto para Linux
- Europa quiere acabar con las retransmisiones strea...
- ProxyChains: cadena de proxys para ocultar nuestra IP
- CrackMapExec: navaja suiza para el pentesting en W...
- Google Reader podría volver integrado en Chrome
- Después de 3 años Twitter reactiva la verificación...
- Presentan unidades SSD con protección anti ransomw...
- 5 minutos después del lanzamiento del parche de Ex...
- Gestores de contraseñas libres y gratuitos para Linux
- mimikatz: herramienta extracción credenciales de W...
- Disponible la última versión Wifislax64 2021
- Ransomware DarkSide ha ganado más de 90 millones e...
- Buscadores de personas por internet
- mRemoteNG, un terminal avanzado conexiones remotas...
- Magecart oculta skimmers en los favicons de las pá...
- Scheme Flooding: vulnerabilidad permite el seguimi...
- Hackean un Tesla a distancia vía WiFi usando un dron
- CloudFlare quiere acabar con los molestos Captchas
- Asignan por error 600 millones de IP's a una granj...
- Toshiba Francia afectada por el ransomware DarkSide
- Grupo AXA de Asia afectado por el ransomware Avaddon
- Desaparece el ransomware DarkSide por la presión d...
- Ransomware DarkSide gana casi 10 millones de dólar...
- Distribuidor de productos químicos Brenntag paga 4...
- El servicio nacional de salud de Irlanda afectado ...
- El oleoducto más grande de Estados Unidos Colonial...
- Actualizaciones de seguridad importantes para prod...
- Vulnerabilidades de la tecnología 5G
- FragAttacks: múltiples vulnerabilidades diseño est...
- iOS 14.5 de Apple presenta nuevos controles de pri...
- Aseguradora AXA detiene el reembolso por delitos d...
- Un ciberataque de ransomware a la mayor empresa de...
- Ransomware Zeppelin afecta empresa ASAC y deja sin...
- Bypass autenticación en routers Asus GT-AC2900
- Actualizaciones de seguridad críticas para lector ...
- Automatizar tareas en Windows con AutoHotkey
- Phirautee: un ransomware con fines educativos
- Nginx supera a Apache como servidor web más utilizado
- Facebook bloquea una campaña de publicidad de Signal
- MobaXterm: terminal para Windows con cliente SSH y...
- Microsoft detalla el final definitivo de Adobe Fla...
- Muon Snowflake, cliente SSH y SFTP para Windows y ...
- Nuevo tipo de ataque afecta a procesadores Intel y...
- Vulnerabilidad importante driver BIOS ordenadores ...
- PhotoRec: recupera ficheros borrados accidentalmente
- Seguridad en contenedores Kubernetes
- Glovo sufre un ciberataque con filtración de datos...
- En Europa las plataformas de Internet deberán elim...
- Cifrado del correo electrónico
- Desmantelan Boystown, portal de pornografía infant...
- Errores en el software BIND exponen los servidores...
- Roban datos de jugadores, contratos y presupuestos...
- ¿Cómo desbloqueó el FBI el iPhone de San Bernardino?
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
mimikatz: herramienta extracción credenciales de Windows
jueves, 20 de mayo de 2021
|
Publicado por
el-brujo
|
Editar entrada
Mimikatz (mimi katz) se convirtió en una herramienta de ataque extremadamente efectiva contra los clientes de Windows, permitiendo recuperar las contraseñas seguras, así como los hashes de contraseñas en memoria. Bautizada como la navaja suiza de las herramientas de obtención de credenciales para Windows como también , Windows Credential Editor (WCE) de Hernán Ochoa.
Mimikatz, escrito por primera vez por el francés Benjamin Delpy (aka gentilkiwi) en 2011, ha simplificado y automatizado en gran medida la recopilación de credenciales en los sistemas de Windows.
Mimikatz es una utilidad de código abierto que permite ver la información de credenciales del Windows lsass (Servicio de Subsistema de la Autoridad de Seguridad Local) a través de su módulo sekurlsa que incluye contraseñas de texto plano y tickets Kerberos que luego podrían usarse para ataques como pass-the-hash y pase el boleto. La mayoría de las herramientas antivirus detectarán la presencia de Mimikatz como una amenaza y la eliminarán, pero puede ser interesante probar la seguridad en los sistemas.
Mimikatz proporciona una gran cantidad de herramientas para recopilar y hacer uso de Windows credenciales en los sistemas de destino, incluida la recuperación de contraseñas de texto claro, Lan Manager hashes y hashes NTLM, certificados y tickets de Kerberos. Las herramientas se ejecutan con diferentes éxito en todas las versiones de Windows desde XP hacia adelante, con una funcionalidad algo limitado en Windows 8.1 y posterior.
También ha salido a relucir como un componente de dos gusanos ransomware que han atravesado Ucrania y se han extendido por Europa, Rusia y EE. UU .: Tanto el ransomware NotPetya como BadRabbit utilizaron a Mimikatz junto con herramientas filtradas de la NSA para crear ataques automatizados cuyas infecciones saturaron rápidamente las redes, con resultados desastrosos. NotPetya solo llevó a la parálisis de miles de computadoras en compañías como Maersk, Merck y FedEx, y se cree que ha causado más de mil millones de dólares en daños y perjuicios.
Mimikatz se convirtió por primera vez en un activo clave para hackers gracias a su capacidad para explotar una oscura función de Windows llamada WDigest. Esa función está diseñada para hacer que sea más conveniente para los usuarios de Windows corporativos y gubernamentales probar su identidad a diferentes aplicaciones en su red o en la web; contiene sus credenciales de autenticación en la memoria y las reutiliza automáticamente, por lo que solo tienen que ingresar su nombre de usuario y contraseña una vez. Mientras Windows mantiene cifrada la copia de la contraseña del usuario, también guarda una copia de la clave secreta para descifrarla también en la memoria
En 2014, Microsoft respondió a este agujero de seguridad con un parche que permite a los administradores del sistema deshabilitar las contraseñas "WDigest" para que no se almacenen. Este aviso de Microsoft explica cómo deberán actualizar una entrada de registro especial.
En Windows 8 y superiores, la configuración predeterminada es no almacenar contraseñas de texto claro en lsass.
mimikatz viene en dos sabores: x64 o Win32, dependiendo de su versión de Windows (32/64 bits).
El sabor de Win32 no puede acceder a la memoria de proceso de 64 bits (como lsass), pero puede abrir un minivolcado de 32 bits en Windows 64 bits. Algunas operaciones necesitan privilegios de administrador o token de sistema, así que tenga en cuenta el UAC de la versión de Vista.
Módulos de uso de mimikatz con Metasploit
Módulos de mimikatz
Características técnicas (features)
Fuentes:
https://www.wired.com/story/how-mimikatz-became-go-to-hacker-tool/
El proyecto LaZagne es un aplicación de código abierto usada para recuperar multitud de contraseñas almacenadas en equipos locales. Muchos productos de software almacenan contraseñas de acceso usando diferentes técnicas, desde el texto plano común, pasando por bases de datos, API's y algoritmos propios.
Esta herramienta fue desarrollada con el propósito de encontrar dichas contraseñas para los productos de software más comúnmente usados. Actualmente soporta multidud de programas de Windows y múltiples sistemas operativos Linux/Unix:
Una precaución importante que podemos tomar en nuestros equipos, para evitar los hallazgos de programas como LaZagne es limpiar los rastros de nuestras actividades, por ejemplo a través de un programa como CCleaner (si bien no elimina todo lo que LaZagne encuentra, si lo hace con todo lo relacionado a las pistas que quedan del uso de los navegadores de Internet por ejemplo).
Fuente:
https://arduinosecurity.blogspot.com.es/2016/07/el-proyecto-lazagne.html
Vía:
http://blog.segu-info.com.ar/2017/11/lazagne-recupera-contrasenas.html
Mimikatz, escrito por primera vez por el francés Benjamin Delpy (aka gentilkiwi) en 2011, ha simplificado y automatizado en gran medida la recopilación de credenciales en los sistemas de Windows.
Mimikatz: cute cat
Mimikatz es una utilidad de código abierto que permite ver la información de credenciales del Windows lsass (Servicio de Subsistema de la Autoridad de Seguridad Local) a través de su módulo sekurlsa que incluye contraseñas de texto plano y tickets Kerberos que luego podrían usarse para ataques como pass-the-hash y pase el boleto. La mayoría de las herramientas antivirus detectarán la presencia de Mimikatz como una amenaza y la eliminarán, pero puede ser interesante probar la seguridad en los sistemas.
Mimikatz proporciona una gran cantidad de herramientas para recopilar y hacer uso de Windows credenciales en los sistemas de destino, incluida la recuperación de contraseñas de texto claro, Lan Manager hashes y hashes NTLM, certificados y tickets de Kerberos. Las herramientas se ejecutan con diferentes éxito en todas las versiones de Windows desde XP hacia adelante, con una funcionalidad algo limitado en Windows 8.1 y posterior.
También ha salido a relucir como un componente de dos gusanos ransomware que han atravesado Ucrania y se han extendido por Europa, Rusia y EE. UU .: Tanto el ransomware NotPetya como BadRabbit utilizaron a Mimikatz junto con herramientas filtradas de la NSA para crear ataques automatizados cuyas infecciones saturaron rápidamente las redes, con resultados desastrosos. NotPetya solo llevó a la parálisis de miles de computadoras en compañías como Maersk, Merck y FedEx, y se cree que ha causado más de mil millones de dólares en daños y perjuicios.
NTHash (NTLM)
Así es como se almacenan las contraseñas en los sistemas Windows. Este tipo de hash se puede obtener volcando la base de datos SAM o usando Mimikatz. También se almacenan en controladores de dominio en el archivo NTDS. Estos son los hash que puede utilizar para pasar la técnica de hash.
Ejemplo de NTHash:
dfdedf4b5ec0e2f9042db9ccef992507
NTHashes se almacenan en la base de datos del Administrador de cuentas de seguridad (SAM) y en la base de datos NTDS.dit del controlador de dominio. Un volcado de hash de Windows se verá así:
Administrador: 500: aad3b435b51404eeaad3b435b51404ee: dfdedf4b5ec0e2f9042db9ccef992507 :::
Que tiene este formato:
<Nombre de usuario>: <ID de usuario>: <Hash LM>: <Hash NT>: <Comment>: <Home Dir>:
Cuando vea que el hash de LM es aad3b435b51404eeaad3b435b51404ee, es el hash literal de sin contraseña y esto depende de su herramienta de volcado, también puede encontrar esta cadena llena de ceros. Esto es así cuando el hash LM está vacío.
Crackear
john --format = nt hash.txthashcat -m 1000 -a 3 hash.txt
Net-NTLMv1 / v2 también conocido como NTLMv1 / v2Permalink
El protocolo Net-NTLM utiliza NTHash en un desafío / respuesta entre un servidor y un cliente.
Puede obtener estos valores hash cuando utilice herramientas como Responder o Inveigh.
admin :: N46iSNekpT: 08ca45b7d7ea58ee: 88dcbe4446168966a153a0064958dac6: 5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c30db765
Net-NTLMv1
john --format = netntlm hash.txthashcat -m 5500 -a 3 hash.txt
Net-NTLMv2
john --format = netntlmv2 hash.txthashcat -m 5600 -a 3 hash.txt
WDigest
Mimikatz se convirtió por primera vez en un activo clave para hackers gracias a su capacidad para explotar una oscura función de Windows llamada WDigest. Esa función está diseñada para hacer que sea más conveniente para los usuarios de Windows corporativos y gubernamentales probar su identidad a diferentes aplicaciones en su red o en la web; contiene sus credenciales de autenticación en la memoria y las reutiliza automáticamente, por lo que solo tienen que ingresar su nombre de usuario y contraseña una vez. Mientras Windows mantiene cifrada la copia de la contraseña del usuario, también guarda una copia de la clave secreta para descifrarla también en la memoria
En 2014, Microsoft respondió a este agujero de seguridad con un parche que permite a los administradores del sistema deshabilitar las contraseñas "WDigest" para que no se almacenen. Este aviso de Microsoft explica cómo deberán actualizar una entrada de registro especial.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
Esta solución Fix it cambia la clave del Registro UseLogonCredential para que las contraseñas WDigest no se almacenen en la memoria.
En Windows 8 y superiores, la configuración predeterminada es no almacenar contraseñas de texto claro en lsass.
mimikatz viene en dos sabores: x64 o Win32, dependiendo de su versión de Windows (32/64 bits).
El sabor de Win32 no puede acceder a la memoria de proceso de 64 bits (como lsass), pero puede abrir un minivolcado de 32 bits en Windows 64 bits. Algunas operaciones necesitan privilegios de administrador o token de sistema, así que tenga en cuenta el UAC de la versión de Vista.
privilege::debugMás ejemplos de uso:
inject::process lsass.exe s
ekurlsa.dll@getLogonPasswords
sekurlsa::logonpasswords
Módulos de uso de mimikatz con Metasploit
meterpreter > mimikatz_command -f fu:: Module : 'fu' introuvable Modules disponibles : - Standard crypto - Cryptographie et certificats hash - Hash system - Gestion système process - Manipulation des processus thread - Manipulation des threads service - Manipulation des services privilege - Manipulation des privilèges handle - Manipulation des handles impersonate - Manipulation tokens d'accès winmine - Manipulation du démineur minesweeper - Manipulation du démineur 7 nogpo - Anti-gpo et patchs divers samdump - Dump de SAM inject - Injecteur de librairies ts - Terminal Server divers - Fonctions diverses n'ayant pas encore assez de corps pour avoir leurs propres module sekurlsa - Dump des sessions courantes par providers LSASS efs - Manipulations EFS
Módulos de mimikatz
- standard
- privilege
- crypto
- sekurlsa
- kerberos
- lsadump
- vault
- token
- event
- ts
- process
- service
- net
- misc
- library
mimilib
- driver
mimidrv
Características técnicas (features)
- Dump credentials from LSASS (Windows Local Security Account database)
- MSV1.0: hashes & keys (dpapi)
- Kerberos password, ekeys, tickets, & PIN
- TsPkg (password)
- WDigest (clear-text password)
- LiveSSP (clear-text password)
- SSP (clear-text password)
- Generate Kerberos Golden Tickets (Kerberos TGT logon token ticket attack)
- Generate Kerberos Silver Tickets (Kerberos TGS service ticket attack)
- Export certificates and keys (even those not normally exportable).
- Dump cached credentials
- Stop event monitoring.
- Bypass Microsoft AppLocker / Software Restriction Polcies
- Patch Terminal Server
- Basic GPO bypass
- lsadump::postzerologon, vulnerabilidad CVE-2020-1472 aka ZeroLogon detection, exploit, DCSync support (Netlogon Elevation of Privilege Vulnerability)
Fuentes:
https://www.wired.com/story/how-mimikatz-became-go-to-hacker-tool/
Proyecto LaZagne
El proyecto LaZagne es un aplicación de código abierto usada para recuperar multitud de contraseñas almacenadas en equipos locales. Muchos productos de software almacenan contraseñas de acceso usando diferentes técnicas, desde el texto plano común, pasando por bases de datos, API's y algoritmos propios.
Windows:
- Autologon
- MSCache
- Credential Files
- Credman
- DPAPI Hash
- Hashdump (LM/NT)
- LSA secret
- Vault Files
Esta herramienta fue desarrollada con el propósito de encontrar dichas contraseñas para los productos de software más comúnmente usados. Actualmente soporta multidud de programas de Windows y múltiples sistemas operativos Linux/Unix:
En el repositorio GitHub del producto hay mayores detalles sobre su uso y alternativas para extenderlo.
Una precaución importante que podemos tomar en nuestros equipos, para evitar los hallazgos de programas como LaZagne es limpiar los rastros de nuestras actividades, por ejemplo a través de un programa como CCleaner (si bien no elimina todo lo que LaZagne encuentra, si lo hace con todo lo relacionado a las pistas que quedan del uso de los navegadores de Internet por ejemplo).
Fuente:
https://arduinosecurity.blogspot.com.es/2016/07/el-proyecto-lazagne.html
Vía:
http://blog.segu-info.com.ar/2017/11/lazagne-recupera-contrasenas.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.