serviceFu——遠程收集服務帳戶憑據工具

在最近的安全評估中，securifera團隊發現自己新開發的遠程收集服務帳戶憑據工具——serviceFu可以獲取客戶網路的初始訪問許可權。他們發現，這些網路都是企業投入了大量的時間和精力來維護的，企業安全客戶域中的大多數用戶需要智能卡身份驗證，禁用憑據緩存（沒有Mimikatz的sekurlsa::logonPasswords），並且存在重要的基於主機的日誌記錄（Powershell，Sysmon，HIPS）。

出於研究的目的，研究人員選擇了高價值目標伺服器進行了研究。經過研究，他們發現，因為網路上的高許可權管理員使用這些伺服器執行了管理任務，研究人員在伺服器上發現了一個鮮為人知的Nday漏洞，並編寫了一個獲得系統特權的本地漏洞代碼。

NDay漏洞對關鍵基礎設施來說是個大問題，一方面Nday漏洞在大型關鍵基礎設施中大量存在。另一方面受限於技術複雜性和行動緩慢的供應鏈限制，打補丁是個相當麻煩的事情。

通過系統，研究人員可以獲得通過注入用戶進程或僅僅竊取用戶令牌來模擬當前登錄到伺服器上的任何用戶的能力。雖然這種技術在升級域名許可權和傳染能力方面很有效，但它需要找到要模擬的活動會話。這通常要藉助那些具有足夠許可權的用戶，只有當他們登錄時，這種技術才能實現，如果用戶退出，則研究人員也將失去使用其帳戶的能力。所以，理想的解決方案是找到使用憑據而不是智能卡身份驗證的域用戶帳戶。

此時，你可能會問自己，既然已經通過令牌模擬擁有了與域管理相同的許可權，那麼為什麼要關心獲取密碼的問題呢?這個問題有幾個方面的解釋。首先，擁有高價值用戶帳戶的憑據可以保持對網路的持續性訪問，並且可以根據需要啟用它。其次，有時感染傳播的能力僅限於RDP等服務，研究人員目前不知道如何使用被盜用戶令牌來利用RDP。最後，使用現有高許可權用戶帳戶憑據的可疑性要遠小於創建新用戶或升級現有帳戶。

幸運的是，企業的Active Directory設置在整個域中的各種伺服器上，且使用了幾個高許可權服務帳戶。這些域服務帳戶使用憑據進行身份驗證以便進行操作。在HKLM的註冊表中，Windows為每個服務的域服務帳戶存儲了加密版本的SecurityPolicySecrets。研究人員發現了幾個公開可用的代碼片段，這些代碼可以從註冊表中解密憑據，其中最受歡迎的是Mimikatz lsadump :: secrets模塊。

這樣我們的問題就變成了，哪些計算機的服務可以在域服務帳戶的上下文中運行？有哪些系統可以手動運行mimikatz？怎樣才能收集系統和安全性註冊表配置單元來離線執行此步驟？我希望儘可能多地自動化這個過程，下面是mimikatz轉儲服務帳戶憑據的截圖。

假設serviceFu工具將在具有目標計算機管理員許可權的用戶的上下文中運行，那我們可以利用Win32 API遠程查詢目標服務。我們可以利用這個工具解析服務起始名稱，以確定運行的上下文是否是正常的系統運行帳戶。如果受到攻擊，我們可以使用遠程註冊表API來保存系統和安全註冊表配置單元。然後，mimikatz可以解析配置單元以解密存儲的服務帳戶憑據。使用C ++開發該工具的一個優點是，我們可以輕鬆的將其作為模塊集成到任何現有的本機C2框架中。

實現serviceFu非常簡單，只要從mimikatz源代碼中提取lsadump::secrets代碼並將其直接集成到項目中。開發人員的目標是只提供解析註冊表配置單元和解密密碼所需的最低限度，這主要是因為他們怕mimikatz可能會觸發的任何殺毒軟體的安全檢測。serviceFu是C和C ++的混合體，在Visual Studio 2012中創建並靜態編譯，因此可以在任何地方複製和運行。它支持通過主機名或IP輸入目標，IP地址可以採用多種格式，如逗號分隔列表，CIDR表示法和『-『分隔範圍。其他參數則會允許你指定是否要執行部分或全部功能，這是為了防止你想要跳過註冊表保存或mimikatz。

雖然該工具目前僅在某些情況下有用，但當這些情況出現時，它則是非常給力的，因為它能夠遠程掃描整個域以獲取明文域服務憑據。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！