Password চুরি?


সারা পৃথিবীর ডেস্কটপ কম্পিউটার ইউজারদের প্রায় ৭০% Windows Operating System ব্যবহার করেন । আমি কনফিডেন্ট যে, পাঠক যদি এই লেখাটা কম্পিউটারে পড়েন তাহলে windows বা mac এ-ই পড়ছেন ।
জানেন, আপনি যখন উইন্ডোজ কম্পিউটারে log in করেন, আপনার username আর password শুধু ডিস্কে না, RAM-এও থাকে। আর এই মেমোরি থেকে পাসওয়ার্ড extract করার জন্যই একদিন তৈরি করা হয়েছিলো Mimikatz। Offensive Security এর আন্ডারে অনেক টাইপের টুল বানানো হয়, কোনো টুল হয়তো নেটওয়ার্ক স্ক্যান করে টার্গেট খুঁজে বের করতে পারে। কোনোটা হয়তো জটিল পাসওয়ার্ড এর হ্যাশ ক্র্যাক করতে চেষ্টা করে । এর মধ্যে একটা টাইপ হলো credentials dumping tools, যারা মেমোরির প্রত্যেকটা বাইট খুঁজে খুঁজে user এর credentials বের করার চেষ্টা করে । Mimikatz এমন একটা Credentials dumping tool.
সিনেমা নয়, রিয়েল লাইফেই এমন হচ্ছে — আর তাই Mimikatz জানা মানে শুধু হ্যাক শেখা না, বরং ডিফেন্স শেখাও ।
■ 𝐖𝐡𝐚𝐭 𝐢𝐬 𝐌𝐢𝐦𝐢𝐤𝐚𝐭𝐳?
Open-source টুল, বানিয়েছেন French সিকিউরিটি রিসার্চার Benjamin Delpy (gentilkiwi)
মূলত উইন্ডোজ মেমোরি (LSASS process) থেকে পাসওয়ার্ড, LM/NTLM hash, kerberos ticket ইত্যাদি বের করে আনতে পারে
Hackers, Pentesters, এবং Red Team — সবাইই ইউজ করেন
Defensive security শিখতেও widely used, কারণ আক্রমণ প্রতিরোধ করতে হলে আক্রমণ কীভাবে হবে, সেটা আগে জানতে হবে !
■ 𝐇𝐨𝐰 𝐢𝐭 𝐰𝐨𝐫𝐤𝐬
যেহেতু এটা পরিচিতি পর্ব তাই আমরা শুধু বিগ পিকচারটা দেখবো। যখন আপনি উইন্ডোজে log in করেন, উইন্ডোজের LSASS.exe (Local Security Authority Subsystem Service) আপনার credentials মেমোরিতে cache করে রাখে, যাতে বারবার না চাইতে হয়। Mimikatz এই LSASS process এর মেমোরি dump পড়ে —
আর সেখান থেকে বের করে আনে:
Plaintext password
NTLM hashes ( Basically, আপনার পাসওয়ার্ডের cryptographic representation)
kerberos tickets ( একধরনের সার্টিফিকেট, যেটা মেইক শিউর করে যে, পাসওয়ার্ড প্রপারলি এনক্রিপ্টেড আছে )
■ Hands on!
( নিজের VM বা test lab ছাড়া চালানো রিকমেন্ডেড না )
Reference এর Github Repository থেকে Mimikatz download করুন । সেটাপ শেষে কমান্ড প্রম্পটে চলে যান ।
- LSASS dump তৈরি করুন:
procdump -ma lsass.exe lsass.dmp
- Mimikatz দিয়ে dump পড়ুন:
mimikatz # sekurlsa::minidump lsass.dmp
mimikatz # sekurlsa::logonpasswords
এখানে logged in ইউজারদের username, domain, plaintext password বা NTLM hash দেখতে পারবেন।
■ Extracting Kerberos Tickets
ধরুন যদি User এর Password বা NTLM Hash ঠিকমতো extract করা সম্ভব না-ও হয়, তবুও মেমোরি থেকে Kerberos Ticket করে আনা সম্ভব হতে পারে, কারণ এই কাজটা টুলের পক্ষে তুলনামূলক সহজ । আপনার কাজ শুধু একটা কমান্ড লেখা, Mimikatz দিয়ে kerberos ticket export:
mimikatz # sekurlsa::tickets /export
এগুলো kirbi
ফাইল হিসেবে export হয় — যা পরে pass-the-ticket attack এর জন্য ইউজ করা যায়।
■ 𝐖𝐡𝐲 𝐢𝐬 𝐢𝐭 𝐝𝐚𝐧𝐠𝐞𝐫𝐨𝐮𝐬?
একবার privilege escalation হয়ে গেলে পুরো network compromise করা সহজ
শুধু hash না, একদম Plaintext password বের করা যায়
Active Directory environment এ lateral movement, golden ticket attack ইত্যাদির জন্য perfect tool
■ 𝐇𝐨𝐰 𝐭𝐨 𝐩𝐫𝐨𝐭𝐞𝐜𝐭
LSASS এর মেমোরিতে credential না রাখার চেষ্টা করুন (Credential Guard, LSA protection ইত্যাদি ব্যবহার করতে পারেন )
Least privilege principle maintain করার চেষ্টা করুন । যাকে যতটুকু প্রিভিলেজ না দিলেই নয় ঠিক ততটুকুই দিন, এর বেশি না । গুরুত্বপূর্ণ Admin rights
PowerShell logging, Sysmon, EDR ব্যবহার করে unusual process access detect করতে পারবেন
Operating System কে Regular patch & update এর মধ্যে রাখুন ( কোনো ভার্শনে credential bugs থাকলে সেটা সাধারণত সেটা solve করতে খুব দ্রুত hotfix বের করা হয়, update না করে ঝামেলাযুক্ত ভার্শন রেখে দিলে সিকিউরিটি রিস্ক থেকেই যাবে )
পরের পর্বে আমরা দেখবো pass-the-ticket attack আর golden ticket attack কীভাবে করা হয়!
References:
Subscribe to my newsletter
Read articles from Saadman Sakib directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
