・Windowsのクレデンシャルダンプ
Last-modified: 2019-11-13 (水) 09:30:00
Top/・Windowsのクレデンシャルダンプ
Windowsのクレデンシャルダンプ †
Security Account Manager(SAM)への攻撃 †
SAMはローカルアカウントのデータベースです。ツールを使ってSAMからハッシュされた認証情報を取得します。また、RegコマンドでレジストリからSAMをダンプします。アクセスにはAdministrator権限が必要です。
ドメインコントローラーが利用できない場合のキャッシュログオン情報への攻撃 †
キャッシュログオンを実現するための DCC2(Domain Cached Credentials version 2) のハッシュを取得します。メモリ上もしくはレジストリのDCC2ハッシュはツールを使いダンプします。
Local Security Authority (LSA) への攻撃 †
LSAとはローカル認証やドメイン認証を実現する認証コンポーネントの中核です。このLSAに対して、SYSTEM権限(Administrator権限より上位)でツールを使い、アクセスする事で、アカウント情報へアクセスが可能となります。
ドメインコントローラーのNTDSへの攻撃 †
NTDSにはドメインのユーザー情報(認証情報、アクセス権)が保存されています。ドメインコントローラー上でツールを使うことでハッシュされた情報を取得できます。
SSPのプレーンテキストの資格情報 †
上記の攻撃はハッシュされた資格情報であり、辞書攻撃やブルートフォース攻撃でハッシュ値と合致するパスワードを取得しなければならないため、容易ではありません。一方で、WindowsはHTTPアクセスの際のダイジェスト認証(Wdigest)をはじめとする様々な資格情報を保存します。これらの情報はプレーンテキストで保存されるため、AdministratorもしくはSYSTEM権限でツールを利用することでダンプが可能です。