Занятие 3. ААА в Windows

# Занятие 3. ААА в Windows ## Практическая работа №3 ААА в Windows ### Задание: 1) Проанализировать память процесса lsass.exe Эмуляция активности пользователей приведена на рисунках 1-8. ![](https://i.imgur.com/8FSEI2e.png) Рисунок 1. Вход под УЗ Olga ![](https://i.imgur.com/VHm1sr8.png) Рисунок 2. Обращение к ресурсам домена ![](https://i.imgur.com/3ARwtE2.png) Рисунок 3. Вход под УЗ Petr ![](https://i.imgur.com/tn0hF3m.png) Рисунок 4. Запуск cmd от администратора ![](https://i.imgur.com/1wmMP1l.png) Рисунок 5. Запуск cmd от УЗ ARMPetr ![](https://i.imgur.com/nIDXMXk.png) Рисунок 6. Выполнение команды whoami ![](https://i.imgur.com/iQhyhCQ.png) Рисунок 7. Запуск диспетчера задач от имени ARMPetr ![](https://i.imgur.com/NrkduME.png) Рисунок 8. Дамп процесса lsass.exe Так как для стенда используется машина Kali Linux, созданная ранее, дальнейшие действия выполнялись от пользователя root. Предварительные сетевые настройки: - интерфейс с выходом в интернет (на данной машине NAT) - интерфейс для локальной сети (internal network), IP-адрес 192.168.10.9 Сетевая конфигурация приведена на рисунке 9. ![](https://i.imgur.com/2QY4QVt.png) Рисунок 9. Сетевая конфигурация Kali Linux Включение службы ssh приведено на рисунке 10. ![](https://i.imgur.com/ZMRbKje.png) Рисунок 10. Включение службы ssh Процесс передачи файла lsass.DMP на Kali приведён на рисунке 11. ![](https://i.imgur.com/sgRQcxd.png) Рисунок 11. Передача файла lsass.DMP на Kali Подтверждения fingerprint на скрине нет, т. к. ранее выполнялись неудачные попытки подключения к хосту (неверный пароль). Примечание: для подключения по ssh (и scp) от имени root в /etc/ssh/sshd_config задан параметр `PermitRootLogin yes`. Bad practice. Подтверждение копирования файла lsass.DMP на Kali приведено на рисунке 12. ![](https://i.imgur.com/7sPu1A6.png) Рисунок 12. Подтверждение копирования файла lsass.DMP на Kali Скачивание и выполнение скрипта pypycatz приведено на рисунке 13. ![](https://i.imgur.com/e7De3p8.png) Рисунок 13. Скачивание и выполнение скрипта pypycatz Фрагменты парсинга дампа приведены на рисунках 14-15. ![](https://i.imgur.com/OSdwdhD.png) Рисунок 14. Парсинг lsass.DMP ![](https://i.imgur.com/uu0nhjL.png) Рисунок 15. Парсинг lsass.DMP (продолжение) На рисунках 13-15 видно, что дамп содержит как учётные данные непосредственно пользователей, выполнявших действия на машине (Olga, Petr, ADMPetr), так и служебных УЗ: PC1$, UMFD-1, UMFD-0, UMFD-2, DWM-1, DWM-2, LOCAL SERVICE. Пароль открытым текстом хранится только для ADMPetr (при этом для ADMPetr две записи в дампе, потому что учётные данные вводились дважды. Пароль открытым текстом виден в одной записи). Для ADMPetr, Petr, Olga хранятся NTLM-хэши. Примечание: - пользователи DWM - демоны Desktop Window Manager - пользователи UMFD - демоны User Mode Font Driver - S-1-5-18 — LocalSystem — используется службами - S-1-5-19 — LocalService — используется службами - S-1-5-20 — NetworkService — используется службами