VMkatz
VM メモリスナップショットおよび仮想ディスクから直接 Windows 認証情報を抽出します
レッドチームの実行任務が3週間目に入っています。通信はVPNを通じてクロールし、その後4つのSOCKSプロキシをバウンスして、危険にさらされたジャンプボックスを通じてチェーンされてからターゲットネットワークに到達します。すべてのパケットは遠回りのルートをたどります。
横方向への移動から数日後、仮想化クラスタに接続されたNASに到着します。ディレクトリリストが目立ちます。.vmdk、.vmsn、.savの行の上に行があります。仮想マシンの数百ギガバイト──ドメインコントローラー、管理者ワークステーション、王冠の宝石──がそこに座っています。
しかし、リンクは200 KB/sで遅々としています。単一の100 GBディスクイメージを引き出すには6日間かかるでしょう。持続的なデータ流出の1時間ごとに、SOCが異常を検出してトンネルを切断し、チェーン全体が崩壊するというリスクが増します。
VMkatzが存在するのは、その場で読むことができるものをわざわざ流出させる必要がないからです。Windowsシークレット──NTLMハッシュ、DPAPIマスターキー、Kerberosチケット、キャッシュドメイン認証情報、LSAシークレット、NTDS.dit、BitLockerキー──を、VM メモリスナップショットと仮想ディスクから直接、NAS、ハイパーバイザー、VM ファイルがある場所ならどこでも抽出します。
単一の静的バイナリ、約3 MB。ESXiホスト、Proxmoxノード、またはNASにドロップします。.vmsn、.vmdk、またはVM フォルダー全体を指します。ディスクイメージではなく認証情報を持ち去ります。
抽出されるもの
メモリスナップショットから(LSASS)
mimikazが実装する9つすべてのSSP認証情報プロバイダー:
| プロバイダー | データ | 注記 |
|---|---|---|
| MSV1_0 | NT/LMハッシュ、SHA1 | ページ化されたエントリの物理スキャンフォールバック |
| WDigest | プレーンテキストパスワード | リンクリスト走査 + .data フォールバック |
| Kerberos | AES/RC4/DESキー、チケット(.kirbi/.ccache) |
AVLツリー走査 + 解放されたセッションのチケットカービング |
| TsPkg | プレーンテキストパスワード | RDPセッションのみ |
| DPAPI | マスターキーキャッシュ(GUID + 復号化キー) | オフラインDPAPI復号化用のSHA1マスターキー |
| SSP | プレーンテキスト認証情報 | msv1_0.dllのSspCredentialList |
| LiveSSP | プレーンテキスト認証情報 | livessp.dllが必要(Win8以降はまれ) |
| Credman | 保存された認証情報 | ハッシュテーブル + 単一リスト列挙 |
| CloudAP | Azure ADトークン | 通常、ローカルのみのログオンでは空 |
さらに: BitLocker FVEK メモリからの抽出(FVEc/Cngbのプールタグスキャン)。
仮想ディスクから(オフライン)
- SAMハッシュ:アカウント状態付きのローカルアカウントNT/LMハッシュ(無効化、空のパスワード)
- LSAシークレット:サービスアカウントパスワード、自動ログオン認証情報、マシンアカウントキー
- キャッシュドメイン認証情報:DCC2ハッシュ(最後のNドメインログオン)
- DPAPIマスターキー:Hashcat対応ハッシュ(
$DPAPImk$── モード15300/15310/15900/15910) - NTDS.dit:ドメインコントローラーディスクからの完全なActive Directoryハッシュ抽出(ネイティブESEパーサー)
- BitLocker復号化:メモリから抽出されたFVEKを使用した透過的なディスク復号化
サポートされている入力形式
| 形式 | 拡張子 | ソース | ステータス |
|---|---|---|---|
| VMwareスナップショット | .vmsn + .vmem |
Workstation、ESXi | テスト済み |
| VMware埋め込みスナップショット | .vmsn(.vmemなし) |
ESXi一時停止 | テスト済み |
| VirtualBox保存状態 | .sav |
VirtualBox | テスト済み |
| QEMU/KVM savevmの状態 | 自動検出 | Proxmox、QEMU | テスト済み |
| QEMU/KVM ELFコアダンプ | .elf |
virsh dump |
テスト済み |
| Hyper-V保存状態 | .vmrs |
Hyper-V 2016以降 | 未テスト |
| VMware仮想ディスク | .vmdk(スパース + フラット) |
Workstation、ESXi | テスト済み |
| VirtualBox仮想ディスク | .vdi |
VirtualBox | テスト済み |
| QEMU/KVM仮想ディスク | .qcow2 |
QEMU、Proxmox | テスト済み |
| Hyper-V仮想ディスク | .vhdx、.vhd |
Hyper-V | テスト済み |
| VMFS-5/6生SCSIデバイス | /dev/disks/... |
ESXi(ファイルロックをバイパス) | テスト済み |
| LVMブロックデバイス | /dev/... |
Proxmox LVM-thin | テスト済み |
| レジストリハイブ | SAM、SYSTEM、SECURITY |
reg save |
テスト済み |
| NTDS.dit | ntds.dit + SYSTEM |
ドメインコントローラー | テスト済み |
| LSASSミニダンプ | .dmp |
procdump、タスクマネージャー | テスト済み |
| VMディレクトリ | 任意のフォルダー | すべてのファイルを自動検出 | テスト済み |
対象OS:Windows Server 2003からWindows Server 2025 / Windows 11 24H2(x86 PAE + x64)。
ダウンロード&使用
翻訳元: https://meterpreter.org/vmkatz-credential-extraction-vmdk-vmsn-memory-snapshots/
