DumpGuard は、最新の Windows システム上のユーザーから NTLMv1 ハッシュを抽出できる資格情報ダンピングツールです。
このツールは Remote Credential Guard プロトコルに依存しており、ローカルホストで Credential Guard が有効になっている場合でも資格情報のダンピングを可能にします。ビルド済みバイナリは、このリポジトリのリリースセクションからダウンロードできます。
使用概要
以下の表は、プログラムがサポートする各種テクニックと、その要件、および Credential Guard によって保護された資格情報をダンプできるかどうかを示しています。
| テクニック | 要件 SYSTEM |
要件 SPN アカウント |
Credential Guard 保護資格情報のダンプ可否 |
|---|---|---|---|
| Remote Credential Guard プロトコルを用いて自身の資格情報を抽出 | ❌ | ✅ | ✅ |
| Remote Credential Guard プロトコルを用いてすべての資格情報を抽出 | ✅ | ✅ | ✅ |
| Microsoft v1 認証パッケージを用いてすべての資格情報を抽出 | ✅ | ❌ | ❌ |
自分のセッションをダンプする(Remote Credential Guard 使用)
権限のないコンテキストから現在のユーザーの NTLMv1 レスポンスをダンプするには、Remote Credential Guard を使用して SPN 対応アカウントに対して認証を行い、確立されたセキュリティコンテキストを利用して NtlmCredIsoRemote インターフェイスから NTLMv1 ハッシュを要求します。
これは Credential Guard の有効 / 無効状態に関係なく機能しますが、SPN 対応アカウントの資格情報が必要です。
必要な権限: なし。
DumpGuard.exe /mode:self /domain:<DOMAIN> /username:<SAMACCOUNTNAME> /password:<PASSWORD> [/spn:<SPN>]すべてのセッションをダンプする(Remote Credential Guard 使用)
特権 SYSTEM コンテキストから現在認証されているすべてのユーザーの NTLMv1 レスポンスをダンプするには、実行中プロセスのトークンを偽装し、その後 Remote Credential Guard を使用して SPN 対応アカウントに対して認証を行い、確立されたセキュリティコンテキストを利用して NtlmCredIsoRemote インターフェイスから NTLMv1 ハッシュを要求します。
これは Credential Guard の有効 / 無効状態に関係なく機能しますが、SPN 対応アカウントの資格情報が必要です。
必要な権限: SYSTEM。
DumpGuard.exe /mode:all /domain:<DOMAIN> /username:<SAMACCOUNTNAME> /password:<PASSWORD> [/spn:<SPN>]すべてのセッションをダンプする(Microsoft v1 認証パッケージ使用)
特権 SYSTEM コンテキストから現在認証されているすべてのユーザーの NTLMv1 レスポンスをダンプするには、NTLM SSP と対話し、各ログオンセッション ID ごとにレスポンスを要求します。
これは次の条件を満たす場合にのみ機能します:
- ローカルシステムで Credential Guard が無効になっている(すべてのローカルセッションから抽出可能)。
- リモートユーザーが Remote Credential Guard 経由でリモートホストからローカルシステムに対して認証している。
必要な権限: SYSTEM。
この攻撃は、以下のコマンドを用いて LSA Whisperer を使って実行することもできます:
lsa-whisperer.exe msv1_0 Lm20GetChallengeResponse --luid {session id} --challenge {challenge to clients} [flags...]ダウンロード
翻訳元: https://meterpreter.org/dumpguard-tool-bypasses-credential-guard-to-steal-ntlmv1-hashes/
