M05: Seguretat Informàtica · Unitat 4

Extracció i Cracking
The Keymaker

Obtenint les "claus del regne" per al moviment lateral

TEORIA · RECOL·LECCIÓ DE DADES

SECCIÓ 2: Extracció de Credencials i Cracking

Un cop obtinguts els privilegis de SYSTEM, l'auditoria passa de la màquina local a l'objectiu de xarxa. Per moure'ns lateralment, necessitem les "claus del regne": les credencials dels administradors emmagatzemades al sistema en forma de hashes.

Funcionament de Hash
Diagrama: Cicle de vida d'un Hash NTLM images/teoriam05/hash_concept.png
Explorar protocol: Autenticació NTLM

🔑 El concepte de Hash i Autenticació NTLM

Windows no guarda les contrasenyes en text pla per seguretat. En el seu lloc, utilitza funcions resum (hashes) com el protocol NTLM.

Determinisme

El protocol NTLM és determinista; una mateixa contrasenya sempre genera el mateix hash.

Manca de Salt

No utilitza una llavor aleatòria ("Salt") per defecte. Això fa que els hashes siguin vulnerables a Taules Rainbow.

2.1 Extracció de la base de dades SAM

La Security Accounts Manager (SAM) és el fitxer on Windows guarda els hashes dels usuaris locals.

  • Bloqueig de Sistema: El fitxer SAM està protegit pel Kernel mentre el sistema està engegat.
  • Tècnica de Bolcat: Com que som administradors, podem utilitzar el registre per fer una còpia "en viu":
reg save hklm\sam C:\sam.hiv
reg save hklm\system C:\system.hiv
Bolcat de SAM
Procés: Bolcat de ruscs del registre images/teoriam05/sam_extraction.png
Veure eines: Impacket Secretsdump

2.2 L'Anomalia de la Memòria: El procés LSASS

El procés LSASS (Local Security Authority Subsystem Service) gestiona les polítiques de seguretat i guarda les credencials dels usuaris actius per facilitar el Single Sign-On (SSO).

🔎 Evolució de la seguretat en memòria:

Legacy

Windows Server 2008: Utilitza WDigest. És possible extreure la contrasenya en text clar amb Mimikatz.

Modern

Windows 10 MiniOS: WDigest desactivat. Només trobarem hashes NTLM, dificultant la lectura directa però permetent suplantacions.

Extracció de memòria
Tècnica: Lectura de credencials en RAM images/teoriam05/passwords_search.png
Projecte: Mimikatz — gentilkiwi

2.3 La Forja: Cracking Offline

El cracking és el procés de provar milers de combinacions fora de la màquina víctima per no aixecar sospites (atac offline).

Mètode Eina Descripció
Diccionari John the Ripper Comprova paraules de llistes (ex: rockyou.txt).
Força Bruta Hashcat Prova totes les combinacions (màscares amb -a 3).
Rainbow Tables CrackStation Cerca en bases de dades gegants de hashes precalculats.

⚖️ Comparativa: Seguretat de Credencials

Característica Server 2008 Win 10 MiniOS
Facilitat d'extracció Molt Alta Mitjana (requereix Bypass UAC)
Text pla en memòria Sí (via WDigest) No (Proteccions actives)
Protocol per defecte NTLM / Kerberos Kerberos (Hardened)
💡

Info Callout: Per què volem el Hash si no el podem crackejar?

Si la contrasenya és massa complexa, podem fer servir Pass-the-Hash (PtH). Windows permet utilitzar el hash NTLM directament per autenticar-se en serveis de xarxa sense haver de saber mai la contrasenya real.

🗂️ Resum de la Secció 2

Objectiu

Obtenir material d'autenticació (hashes) dels administradors.

Fonts

Registre (SAM) i memòria RAM (LSASS).

Concepte

Manca de "Salting" a NTLM: contrasenyes febles cauen en segons.

Eines de referència: