Post

[Credential Theft] Domain Cache Credentials

Posted Updated
By Nairpaa 1 min read

Domain Cached Credentials (DCC) dirancang untuk situasi di mana kredensial domain diperlukan untuk login ke sebuah mesin, bahkan saat mesin tersebut tidak terhubung ke domain (misalnya laptop yang berpindah-pindah lokasi).

Perangkat lokal akan menyimpan cache dari kredensial domain sehingga otentikasi bisa terjadi secara lokal. Namun, kredensial ini bisa diekstraksi dan di-crack secara offline untuk mendapatkan kredensial teks biasa.

Sayangnya, format hash dari DCC bukan NTLM sehingga tidak bisa digunakan dengan metode Pass-the-Hash.

0x1 - Exploitation Stages

Perintah ini memerlukan hak akses yang lebih tinggi.

1

beacon> mimikatz !lsadump::cache

OPSEC

Modul Mimikatz ini akan membuka handle ke SECURITY registry hive.

Kita bisa menggunakan kata kunci “Suspicious SECURITY Hive Handle” pada Kibana untuk melihat log ini.

0x2 - Crack the Hash

Untuk meng-crack hash ini dengan hashcat, kita perlu mengubahnya ke dalam format yang diharapkan. Halaman web hashcat menunjukkan kepada kita bahwa formatnya adalah $DCC2$<iterations>#<username>#<hash>.

1

➜ hashcat -m 2100 <file.hash> <wordlist.txt>

Perlu diingat bahwa DCC jauh lebih lambat untuk di-crack dibandingkan dengan NTLM.

0x3 - References

  • https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-and-cracking-mscash-cached-domain-credentials
  • https://viperone.gitbook.io/pentest-everything/everything/everything-active-directory/credential-access/credential-dumping/cached-domain-credentials
Active Directory, Post Compromise Attack
red team active directory hacking windows hacking post compromise attack credential theft mimikatz cobalt strike dcc
This post is licensed under CC BY 4.0 by the author.