Mimikatz를 활용한 윈도우 계정 탈취 - Hyberfil.sys, VMware 페이지 파일 이용

Windows 보안에 관한 시리즈의 일부로 작성된 이 기사에서는 다음을 사용하여 모든 활성 Windows 사용자의 암호를 얻는 아주 간단한 방법을 배웁니다. Mimikatz.

Mimikatz.exe Windows 메모리, 암호 해시, Kerberos 티켓 등에서 일반 텍스트 암호를 추출할 수 있습니다. 또한 mimikatz를 사용하면 pass-the-hash, pass-the-ticket 공격을 수행하거나 Golden Kerberos 티켓을 생성할 수 있습니다. mimikatz 기능은 Metasploit Framework에서도 사용할 수 있습니다.

당신은 다운로드 할 수 있습니다 mimikatz GitHub 리포지토리에서: https://github.com/gentilkiwi/mimikatz/releases/. mimikatz_trunk.zip 아카이브를 C:Toolsmimikatz에 추출합니다. x64 및 x86용으로 두 가지 버전의 mimikatz가 이 디렉토리에 나타납니다. Windows 비트에 해당하는 버전을 사용하십시오.

 

이 기사에서는 mimikatz를 사용하여 Windows Server 2016 또는 Windows 10에서 사용자 암호를 얻는 방법을 보여줍니다.

Disclaimer. 이 기사에 설명된 정보 및 기술은 정보 제공의 목적으로만 사용해야 하며 제3자의 계정, 데이터 및 시스템에 대한 액세스 권한을 얻지 않아야 합니다.

Contents

• Mimikatz를 사용하여 LSASS에서 Windows 해시 암호 해킹
• Hyberfil.sys 및 VM 페이지 파일에서 Windows 암호 추출
• WDigest를 사용하여 일반 텍스트로 Windows 암호 추출
• SAM에서 로컬 사용자 암호 해시 추출
• Mimikatz를 통한 Pass-the-Hash 공격 수행
• Windows 자격 증명 관리자에서 암호 덤핑
• 일반 텍스트로 Windows 로그온 암호 덤프
• 자격 증명 덤핑 공격으로부터 Windows 보호

 

Hyberfil.sys 및 VM 페이지 파일에서 Windows 암호 추출

시스템 최대 절전 모드 파일(hiberfil.sys), 가상 머신 파일의 vmem(가상 머신 페이징 파일 및 해당 스냅샷).

 

Debugging Tool for Windows (WinDBG), mimikatz, bin2dmp.exe를 준비

(Hyper-V에서는 vm2dmp.exe 또는 VMWare vmem-files용 MoonSols Windows 메모리 툴킷일 수 있음).

 

예를 들어, VMWare 가상 머신의 vmem 페이지 파일을 덤프로 변환하려면 다음 명령을 사용하십시오.

bin2dmp.exe “wsrv2008r2-1.vmem” vmware.dmp

 

덤프를 WinDbg(파일 -> 크래시 덤프 열기)로 가져오고 mimikatz 라이브러리 mimilib.dll을 로드합니다.

.load mimilib.dll

 

덤프에서 lsass.exe 프로세스를 찾습니다.

!process 0 0 lsass.exe

 

마지막으로 다음을 입력합니다.

.process /r /p fffffa800e0b3b30
!mimikatz

결과적으로 Windows 사용자 목록과 암호의 NTLM 해시 또는 일반 텍스트 암호를 얻을 수 있습니다.