如何緩解Mimikatz WDigest Cleartext 竊取憑證？

滲透測試人員和那些進行惡意攻擊的人通常都會將注意力集中在使用最簡單的攻擊媒介來實現其目標。 比如已經存在幾年的一個常見攻擊方式—使用一個名為Mimikatz的工具，它能夠從受損Windows系統的內存中竊取明文憑證。

受影響的系統

Windows 7和Windows Server 2008（其他舊版操作系統也很脆弱）

相比較而言新版本（如Windows 8/10和Windows Server 2012/2016）在默認情況下不容易受到攻擊，但如果攻擊者具有系統級許可權，則可以將其重新配置（通過註冊表更改）。

影響

具有管理員許可權的攻擊者可以從受損系統的內存竊取憑據，而內存中的憑證以明文和各種哈希格式存儲。

描述

在Windows XP中，Microsoft添加了一個名為WDigest的協議的支持。WDigest協議可用於在客戶端將明文憑據發送到基於RFC 2617和2831的超文本傳輸協議（HTTP）和簡單認證安全層（SASL）應用程序。Windows將密碼存儲在內存中，方便用戶登錄到本地工作站。

在我們的實驗室環境中，我們有以下系統設置：

10.10.10.4 Windows Server 2008 R2 新安裝10.10.10.6 Windows 7 新安裝

首先使用域控制器運行Windows 2012 R2。

然後我們將使用CrackMapExec來演示如何從這些系統竊取憑據，即通過使用powershell來在兩個目標系統上執行Mimikatz。被盜憑證如下所示：

建議

微軟發布的KB 2871997可以解決這幾個相關的問題。可以點擊以下URL就可以直接下載：

Windows 7 x86https://download.microsoft.com/download/9/8/7/9870AA0C-BA2F-4FD0-8F1C-F469CCA2C3FD/Windows6.1-KB2871997-v2-x86.msuWindows 7 x64https://download.microsoft.com/download/C/7/7/C77BDB45-54E4-485E-82EB-2F424113AA12/Windows6.1-KB2871997-v2-x64.msuWindows Server 2008 R2 x64 Editionhttps://download.microsoft.com/download/E/E/6/EE61BDFF-E2EA-41A9-AC03-CEBC88972337/Windows6.1-KB2871997-v2-x64.msu

安裝KB後，需要修改註冊表以防止憑據存儲在內存中。對於單個系統，可以通過以下命令完成此修改：

Reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0

這裡需要注意一下，某些IIS伺服器可能已經配置使用了WDigest認證。同時我們建議在實驗室環境中測試此修復程序，然後在實際中進行使用。

為了驗證前面的修改是否有效，我們可以使用以下命令來檢查結果：

reg query HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential

這時應該返回以下結果：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential REG_DWORD 0x0

打開組策略管理控制台，右鍵單擊應包含新首選項的組策略對象（GPO），然後單擊編輯。

在計算機配置或用戶配置下的控制台樹中，展開首選項文件夾，然後展開Windows設置文件夾。右鍵單擊註冊表節點，指向新建，然後選擇註冊表項。

在「 新建註冊表項」對話框中，選擇「為組策略創建 」以執行。輸入以下設置：

行動： 創建蜂巢： HKEY_LOCAL_MACHINE關鍵路徑： SYSTEM CurrentControlSet Control SecurityProviders WDigest價值名稱： UseLogonCredential值類型： REG_DWORD價值數據： 0基礎： 小數

等所有都看起來是正確的之後點擊確定，新的首選項就會顯示在詳細信息的窗格中。現在我們可以跳過組策略間隔，這可以通過在Windows 7和2008系統上運行以下命令來完成：gpupdate

接下來，我們可以確認已經發生了變化。下面我們可以看到Windows 7系統上的一切都很好。

Windows Server 2008 R2系統上的所有內容也都很好。

現在，我們重新啟動這兩個系統並使用我們以前使用的相同域憑據進行登錄。註冊表修改不需要重新引導，但是由於憑據存儲在內存中，最好的方法是刷新它們。

最後，我們重新運行CrackMapExec來驗證更改是否有效。

如您所見，明文憑證不再存儲在內存中。但是，NTLM哈希值仍然可以被檢索。因此，強密碼和雙因素認證對於防止密碼破解仍然很重要。同樣重要的是確保一個很好的策略來減輕通過哈希攻擊媒介。微軟有以下幾個位置可以找到關於這個主題的資源：

https://www.microsoft.com/pthhttps://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating-Pass-the-Hash-Attacks-and-therther-Credential-Theft-Version-2。 pdf

攻擊者仍然可以在任何可以實現系統級許可權的系統上恢復註冊表修改。註冊表修改不需要重新啟動，防禦者應監視註冊表以進行未經授權的更改。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！