Password চুরি?

Saadman SakibSaadman Sakib
3 min read

সারা পৃথিবীর ডেস্কটপ কম্পিউটার ইউজারদের প্রায় ৭০% Windows Operating System ব্যবহার করেন । আমি কনফিডেন্ট যে, পাঠক যদি এই লেখাটা কম্পিউটারে পড়েন তাহলে windows বা mac এ-ই পড়ছেন ।

জানেন, আপনি যখন উইন্ডোজ কম্পিউটারে log in করেন, আপনার username আর password শুধু ডিস্কে না, RAM-এও থাকে। আর এই মেমোরি থেকে পাসওয়ার্ড extract করার জন্যই একদিন তৈরি করা হয়েছিলো Mimikatz। Offensive Security এর আন্ডারে অনেক টাইপের টুল বানানো হয়, কোনো টুল হয়তো নেটওয়ার্ক স্ক্যান করে টার্গেট খুঁজে বের করতে পারে। কোনোটা হয়তো জটিল পাসওয়ার্ড এর হ্যাশ ক্র্যাক করতে চেষ্টা করে । এর মধ্যে একটা টাইপ হলো credentials dumping tools, যারা মেমোরির প্রত্যেকটা বাইট খুঁজে খুঁজে user এর credentials বের করার চেষ্টা করে । Mimikatz এমন একটা Credentials dumping tool.

সিনেমা নয়, রিয়েল লাইফেই এমন হচ্ছে — আর তাই Mimikatz জানা মানে শুধু হ্যাক শেখা না, বরং ডিফেন্স শেখাও ।


■ 𝐖𝐡𝐚𝐭 𝐢𝐬 𝐌𝐢𝐦𝐢𝐤𝐚𝐭𝐳?

  • Open-source টুল, বানিয়েছেন French সিকিউরিটি রিসার্চার Benjamin Delpy (gentilkiwi)

  • মূলত উইন্ডোজ মেমোরি (LSASS process) থেকে পাসওয়ার্ড, LM/NTLM hash, kerberos ticket ইত্যাদি বের করে আনতে পারে

  • Hackers, Pentesters, এবং Red Team — সবাইই ইউজ করেন

  • Defensive security শিখতেও widely used, কারণ আক্রমণ প্রতিরোধ করতে হলে আক্রমণ কীভাবে হবে, সেটা আগে জানতে হবে !


■ 𝐇𝐨𝐰 𝐢𝐭 𝐰𝐨𝐫𝐤𝐬

যেহেতু এটা পরিচিতি পর্ব তাই আমরা শুধু বিগ পিকচারটা দেখবো। যখন আপনি উইন্ডোজে log in করেন, উইন্ডোজের LSASS.exe (Local Security Authority Subsystem Service) আপনার credentials মেমোরিতে cache করে রাখে, যাতে বারবার না চাইতে হয়। Mimikatz এই LSASS process এর মেমোরি dump পড়ে —
আর সেখান থেকে বের করে আনে:

  • Plaintext password

  • NTLM hashes ( Basically, আপনার পাসওয়ার্ডের cryptographic representation)

  • kerberos tickets ( একধরনের সার্টিফিকেট, যেটা মেইক শিউর করে যে, পাসওয়ার্ড প্রপারলি এনক্রিপ্টেড আছে )


■ Hands on!

( নিজের VM বা test lab ছাড়া চালানো রিকমেন্ডেড না )

Reference এর Github Repository থেকে Mimikatz download করুন । সেটাপ শেষে কমান্ড প্রম্পটে চলে যান ।

  1. LSASS dump তৈরি করুন:
procdump -ma lsass.exe lsass.dmp
  1. Mimikatz দিয়ে dump পড়ুন:
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords

এখানে logged in ইউজারদের username, domain, plaintext password বা NTLM hash দেখতে পারবেন।


■ Extracting Kerberos Tickets

ধরুন যদি User এর Password বা NTLM Hash ঠিকমতো extract করা সম্ভব না-ও হয়, তবুও মেমোরি থেকে Kerberos Ticket করে আনা সম্ভব হতে পারে, কারণ এই কাজটা টুলের পক্ষে তুলনামূলক সহজ । আপনার কাজ শুধু একটা কমান্ড লেখা, Mimikatz দিয়ে kerberos ticket export:

mimikatz # sekurlsa::tickets /export

এগুলো kirbi ফাইল হিসেবে export হয় — যা পরে pass-the-ticket attack এর জন্য ইউজ করা যায়।


■ 𝐖𝐡𝐲 𝐢𝐬 𝐢𝐭 𝐝𝐚𝐧𝐠𝐞𝐫𝐨𝐮𝐬?

  • একবার privilege escalation হয়ে গেলে পুরো network compromise করা সহজ

  • শুধু hash না, একদম Plaintext password বের করা যায়

  • Active Directory environment এ lateral movement, golden ticket attack ইত্যাদির জন্য perfect tool


■ 𝐇𝐨𝐰 𝐭𝐨 𝐩𝐫𝐨𝐭𝐞𝐜𝐭

  • LSASS এর মেমোরিতে credential না রাখার চেষ্টা করুন (Credential Guard, LSA protection ইত্যাদি ব্যবহার করতে পারেন )

  • Least privilege principle maintain করার চেষ্টা করুন । যাকে যতটুকু প্রিভিলেজ না দিলেই নয় ঠিক ততটুকুই দিন, এর বেশি না । গুরুত্বপূর্ণ Admin rights

  • PowerShell logging, Sysmon, EDR ব্যবহার করে unusual process access detect করতে পারবেন

  • Operating System কে Regular patch & update এর মধ্যে রাখুন ( কোনো ভার্শনে credential bugs থাকলে সেটা সাধারণত সেটা solve করতে খুব দ্রুত hotfix বের করা হয়, update না করে ঝামেলাযুক্ত ভার্শন রেখে দিলে সিকিউরিটি রিস্ক থেকেই যাবে )


পরের পর্বে আমরা দেখবো pass-the-ticket attack আর golden ticket attack কীভাবে করা হয়!

References:

9
Subscribe to my newsletter

Read articles from Saadman Sakib directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

Saadman Sakib
Saadman Sakib