Tutoriel MultiDump - Outil de post-exploitation pour vider et extraire discrètement la mémoire LSASS

Karkarof

Sorcier de VeryLeak's ⚡
Administrateur
Level 5

Torrents Stats

Messages
7 671
J'aime
130 469
Trophées
3 403
Inscrit
14 Octobre 2021
yo

lsass ou Local Security Authority Subsystem Service est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs. Pour Windows 2000 et les versions postérieures, les utilisateurs du domaine sont identifiés d'après les informations de l'annuaire Active Directory

MultiDump est un post exploitation outil écrit en C pour dumper et extraire la mémoire LSASS discrètement, sans déclencher d'alertes Defender, avec un gestionnaire écrit en Python

MultiDump prend en charge le vidage LSASS via ProcDump.exe ou comsvc.dll, il propose deux modes : un mode local qui crypte et stocke le fichier de vidage localement et un mode distant qui envoie le vidage à un gestionnaire pour décryptage et analyse.

usage

1.JPG

Comme pour tous les outils liés à LSASS, les privilèges Administrator/SeDebugPrivilege sont requis.


Le gestionnaire dépend de Pypykatz pour analyser le dump LSASS, et Impacket pour analyser les sauvegardes du registre. Ils doivent être installés dans votre environnement. Si vous voyez l'erreur All detection methods failed, il est probable que la version de Pypykatz soit obsolète.


Par défaut, MultiDump utilise le Comsvc.dll méthode et enregistre le dump chiffré dans le répertoire courant.

1.JPG

1.JPG

Si --procdump est utilisé, ProcDump.exe sera écrit sur le disque pour vider LSASS.
En mode distant, MultiDump se connecte à l'écouteur du gestionnaire

1.JPG

1.JPG

La clé est chiffrée avec l'adresse IP et le port du gestionnaire. Lorsque MultiDump se connecte via un proxy, le gestionnaire doit utiliser le --override-ip option permettant de spécifier manuellement l'adresse IP pour la génération de clé en mode distant, garantissant ainsi le bon fonctionnement du décryptage en faisant correspondre l'adresse IP de décryptage avec l'adresse IP attendue définie dans MultiDump -r.


Une option supplémentaire pour vider le SAM, SECURITY et SYSTEM des ruches sont disponibles avec --reg, le processus de décryptage est le même que celui des dumps LSASS. Il s'agit plutôt d'une fonctionnalité pratique pour effectuer un post-exploitation

Création de MultiDump​


Ouvrir dans Visual Studio, intégrer libérer mode.

Personnalisation de MultiDump​


Il est recommandé de personnaliser le binaire avant la compilation, par exemple en modifiant les chaînes statiques ou la clé RC4 utilisée pour les chiffrer, pour ce faire, un autre projet Visual Studio EncryptionHelper, est inclus. Changez simplement la clé ou les chaînes et la sortie du fichier compilé. EncryptionHelper.exe peut être collé dans MultiDump.c et Common.h
L'auto-suppression peut être activée en décommentant la ligne suivante dans Common.h

1.JPG

Pour échapper davantage à l'analyse des chaînes, la plupart des messages de sortie peuvent être exclus de la compilation en commentant la ligne suivante dans Debug.h

1.JPG
 

Fichiers joints

  • 1.JPG
    1.JPG
    2.2 KB · Affichages: 1
Haut Bas