استخراج اطلاعات احراز هویت با استفاده از NetExec ‏(nxc)

سجاد تیموری 48 ثانیه پیشآخرین بروزرسانی: آبان ۲۴, ۱۴۰۴

۰ 0 زمان تقریبی مطالعه 11 دقیقه

استخراج اطلاعات احراز هویت با استفاده از NetExec ‏(nxc)

در محیط‌های سازمانی مدرن، اطلاعات احراز هویت Active Directory ارزشمندترین هدف برای مهاجمان محسوب می‌شوند. چه یک Red Teamer باشید، چه یک متخصص تست‌نفوذ یا یک متخصص شبیه‌سازی حملات ، دسترسی به اطلاعات احراز هویت برای Privilege Escalation (بالا بردن سطح دسترسی)، Lateral Movement (حرکات جانبی) و Persistence (پایداری) ضروری است. اما مهاجمان در سناریوهای واقعی چگونه این اطلاعات احراز هویت را جمع‌آوری می‌کنند؟

اینجا است که NetExec ‏(nxc) وارد می‌شود — یک Framework قدرتمند و مدرن در حوزه Post-Exploitation و جانشین پیشرفته CrackMapExec NetExec برای خودکارسازی و تسهیل فرایند استخراج اطلاعات احراز هویت ساخته شده و آن را به یکی از مؤثرترین ابزارها برای Red Teamها و متخصصان امنیت که در محیط‌های Windows و Active Directory فعالیت می‌کنند تبدیل کرده است.

NetExec‏(nxc) چیست؟

NetExec یک ابزار Post-Exploitation همه‌کاره است که برای عملیات شبکه داخلی طراحی شده است. با پشتیبانی گسترده از SMB، WinRM و پروتکل‌های دیگر، این ابزار به مهاجمان اجازه می‌دهد که اطلاعات احراز هویت را از منابع مختلفی جمع‌آوری کنند، از جمله:

حافظه LSASS ‏(متن‌ساده و NTLM hashes)
Windows Registry و کلیدهای Winlogon
مرورگرها، پروفایل‌های Wi-Fi و کلاینت‌های SSH
رمزهای LAPS و پایگاه‌داده dit
اسرار gMSA ‏(Group Managed Service Accounts)
ابزارهای شخص ثالث مانند ‎PuTTY‎، ‎mRemoteNG‎ و ‎Notepad++‎

در این راهنمای عملی، ما یک فرآیند Red Team را گام‌به‌گام با استفاده از NetExec بر روی SMB شبیه‌سازی می‌کنیم تا نشان دهیم مهاجمان چگونه اطلاعات احراز هویت را از یک محیط Active Directory با پیکربندی اشتباه جمع‌آوری می‌کنند. هر مرحله یک تاکتیک واقعی را که معمولاً در عملیات امنیت تهاجمی دیده می‌شود نشان می‌دهد.

اهمیت این موضوع برای Red Team و Blue Team چیست؟

برای Red Teamها، این راهنما نشان می‌دهد چگونه NetExec می‌تواند برای شناسایی و بهره‌برداری از پیکربندی‌های ضعیف در چند دقیقه مورد استفاده قرار گیرد؛ شبیه‌سازی رفتارهای Post-Exploitation واقعی که مهاجمان روزانه انجام می‌دهند.

برای Blue Team و تحلیلگران SOC، این موضوع نقاط حیاتی برای تشخیص و پیکربندی‌های اشتباهی که معمولاً نادیده گرفته می‌شوند را برجسته می‌کند، از جمله:

ذخیره اطلاعات احراز هویت به‌صورت متن‌ساده
استفاده نادرست از Service Accountها
ضعف در رعایت اصول امنیتی رجیستری و Wi-Fi
عضویت‌های بیش‌ازحد مجاز در گروه‌های کاربری (مثلاً Backup Operators)

فهرست مطالب

Dump Local SAM Hashes

Test Hash as Login Credential

Extract LSA Secrets

Retrieve Winlogon Registration Data

Dump DAPI Password Credentials

Extract Credentials from LSASS via LSASSASSY

Dumping LSASS Memory with nanodump Module

Extracting Stored Credentials from mRemoteNG Configuration

Retrieve PuTTY Private Key Files

Extract Notepad++ Session Logs

Retrieve PowerShell Command History

Extract WinSCP Configuration Files

Dumping VNC Passwords

Extract Wi-Fi Profiles/PSKs as Administrator

Dumping Backup Operators Permission

Dumping NTDS.dit Using an Authenticated User

Extract gMSA Credentials

Retrieve LAPS Password via NetExec (nxc)

Mitigation

آماده‌اید سطح بعدی استخراج رمزعبورها را باز کنید؟

بیایید وارد مرحله NXC SMB Post-Access Enumeration شویم و با استفاده از NetExec اطلاعات احراز هویت را به روش‌های مختلف Dump کنیم.

Dump کردن Local SAM Hash ها

nxc smb 192.168.1.80 -u ieuser -p 123 –sam

این دستور به ‎nxc‎ اعلام می‌کند که از طریق SMB به سیستم هدف احراز هویت کرده و NTLM password hashها را از پایگاه‌داده محلی SAM استخراج کند؛ پایگاه‌داده‌ای که اطلاعات احراز هویت مربوط به یوزرهای داخلی را ذخیره می‌کند.

دسترسی به SAM hashها به مهاجمان امکان می‌دهد که رمزهای عبور را به‌صورت آفلاین کرک کنند، حملات Pass-the-Hash را در سیستم‌هایی که اکانت‌های Local مشترک دارند انجام دهند، و از طریق دستکاری یا ایجاد مجدد نام‌های کاربری Local، پایداری را حفظ کنند.

تست‌کردن Hash به عنوان اطلاعات احراز هویت ورود

nxc smb 192.168.1.80 -u ieuser -p 123 --lsa

این دستور با استفاده از NTLM hash به‌دست‌آمده، عملیات را به‌صورت راه‌دور اجرا می‌کند و با اعتبارسنجی اطلاعات احراز هویت سرقت‌شده، امکان حملاتی مثل: Lateral Movement و Privilege Escalation را در سراسر شبکه فراهم می‌سازد.

استخراج Secretsهای موجود در LSA

LSA secrets در مرحله Post-Exploitation بسیار ارزشمند هستند، زیرا اطلاعات احراز هویت، Secret حساب سرویس و کلید رمزگشایی‌های مربوط به داده‌های حساس دیگر را ذخیره می‌کنند. در شبکه‌های سازمانی، این Secrets نقش حیاتی در امکان‌پذیر کردن Lateral Movement بین ماشین‌ها و سرویس‌ها دارند.

nxc smb 192.168.1.80 -u ieuser -p 123 --lsa

این دستور سپس LSA secrets را بازیابی می‌کند؛ مانند اطلاعات احراز هویت و کلید Serviceها که شامل اطلاعات احراز هویت بلندمدت و رمزهای عبور Service رمزگذاری‌شده برای دسترسی Persistent هستند.

بازیابی Winlogon Registration Data

nxc smb 192.168.1.80 -u ieuser -p 123 -M reg-winlogon

این دستور از ماژول ‎reg-winlogon‎ در NetExec برای Query گرفتن از کلیدهای Registry موجود در مسیر

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

استفاده می‌کند؛ مسیرهایی که کنترل‌کننده لاگین خودکار در Windows هستند. مقادیر کلیدی مانند ‎AutoAdminLogon‎، ‎DefaultUsername‎ و ‎DefaultPassword‎ می‌توانند اطلاعات احراز هویت را به‌صورت متن ساده ذخیره کنند و این موضوع آن‌ها را به یک هدف ارزشمند برای جمع‌آوری اطلاعات احراز هویت تبدیل می‌کند، به‌ویژه در محیط‌هایی که پیکربندی اشتباه وجود دارد و قابلیت لاگین خودکار فعال است.

استخراج کردن اطلاعات احراز هویت مربوط به DPAPI

DPAPI ‏(Data Protection API) یک قابلیت Windows است که Secrets کاربر مانند اطلاعات احراز هویت وب، رمزهای عبور مرورگرها، Outlook، RDP، WiFi و اعتبارنامه‌های ذخیره‌شده ورود دامنه(Cached Domain Credentials) را به‌صورت امن ذخیره می‌کند و آن‌ها را با کلیدهای مخصوص کاربر که به‌صورت محلی ذخیره شده‌اند رمزگذاری می‌نماید.

nxc smb 192.168.1.80 -u ieuser -p 123 --dapi

این دستور سپس رمزهایی را که توسط سرویس‌های Legacy DAPI ذخیره شده‌اند بازیابی می‌کند؛ رمزهایی که می‌توانند در سیستم‌های قدیمی Windows که نسبت به مدیریت اطلاعات احراز هویت منسوخ‌شده آسیب‌پذیر هستند، به‌عنوان یک بردارحمله برای Privilege Escalation مورد استفاده قرار گیرند.

این فرآیند موارد زیر را آشکار می‌سازد:

Dump مربوط به سیستم مدیریت اعتبارنامه ویندوز (‏raj:Password@1)
بازیابی اطلاعات ورود Facebook از مرورگر Microsoft Edge
بازیابی رمزهای عبور LinkedIn از مرورگر Firefox

نکته: این یک گنجینه Post-Exploitation محسوب می‌شود؛ که امکان Lateral Movement، Credential Chaining و Account Hijacking را در سرویس‌های مختلف فراهم می‌کند.

استخراج Credentials از فرآیند LSASS با استفاده از ابزار LSASSASSY

nxc smb 192.168.1.80 -u ieuser -p 123 -M lsassy

این دستور از ماژول ‎lsassy‎ در NetExec برای استخراج اطلاعات احراز هویت به‌صورت مستقیم از LSASS ‏(Local Security Authority Subsystem Service) استفاده می‌کند؛ فرآیندی حیاتی در Windows که مدیریت ورودها و داده‌های حساس مانند Hashهای کلمات عبور و بلیط‌های Kerberos را برعهده دارد. این ماژول فرآیند استخراج اطلاعات احراز هویت را با استفاده از روش‌هایی مانند Procdump via SMB، تزریق ‎Comsvcs.dll‎ و APIهای ‎MiniDumpWriteDump‎ خودکارسازی می‌کند.

LSASS داده‌های حساس را در حافظه ذخیره می‌کند، شامل NTLM hashها، رمزهای عبور متن ساده (در صورت فعال بودن WDigest) ، بلیط‌های Kerberos و استخراج این اطلاعات، دسترسی Post-Exploitation بسیار ارزشمندی را برای مهاجمان فراهم می‌کند؛ به‌ویژه زمانی که Domain Admin یا سایر کاربران دارای امتیاز بالا در سیستم ورود کرده باشند.

استخراج حافظهٔ LSASS با استفاده از ماژول nanodump

nxc smb 192.168.1.80 -u ieuser -p 123 -M nanodump

این دستور از ماژول nanodump در ابزار NetExec برای Dump گرفتن از محتوای LSASS به‌صورت راه‌دور استفاده می‌کند. این فرآیند با استفاده از ابزار NanoDump انجام می‌شود؛ یک LSASS dumper مدرن و مخفی‌کار که برای دور زدن مکانیزم‌های امنیتی مانند Windows Defender، Anti-malware Scan Interface (AMSI) و محدودیت‌های دسترسی به LSASS طراحی شده است. در این روش، NanoDump از طریق SMB منتقل و اجرا می‌شود، حافظه LSASS را استخراج می‌کند و فایل dump را به‌صورت محلی ذخیره می‌نماید.

NanoDump در فرایند جمع‌آوری اطلاعات احراز هویت بسیار کارآمد است، زیرا از شناسایی توسط سیستم‌های AV/EDR جلوگیری می‌کند، محدودیت‌های دسترسی را دور می‌زند و یک فایل تمیز با فرمت .dmp برای تحلیل آفلاین تولید می‌کند. این ویژگی‌ها NanoDump را نسبت به ابزارهای قدیمی‌تر، به روشی مخفی‌کارانه‌تر و قابل‌اعتمادتر تبدیل می‌کند.

استخراج اطلاعات کاربری ذخیره‌شده از پیکربندی mRemoteNG

nxc smb 192.168.1.80 -u ieuser -p 123 -M mremoteng

این دستور، اپلیکیشن mRemoteNG را هدف قرار می‌دهد؛ یک ابزار مدیریت اتصال راه‌دور که معمولاً توسط مدیران سیستم استفاده می‌شود. ماژول mremoteng در NetExec فایل‌های پیکربندی مانند confCons.xml را جست‌وجو کرده، اعتبارنامه‌های ذخیره‌شده را با استفاده از کلیدهای ثابت و شناخته‌شده رمزگشایی می‌کند و آن‌ها را به‌صورت متن ساده برای استفاده بعدی نمایش می‌دهد.

مدیران سیستم اغلب برای سهولت کار، اعتبارنامه‌های با سطح دسترسی بالا را در ابزارهای مدیریت نشست‌های راه‌دور ذخیره می‌کنند یا رمزهای عبور را در چندین سرویس reuse می‌کنند. در صورت یافتن mRemoteNG، اعتبارنامه‌های dump‌شده می‌تواند شامل Domain Admins، حساب‌های سرویس یا سایر کاربران دارای دسترسی بالا باشد، که امکان lateral movement فوری از طریق WinRM، RDP یا SSH را فراهم می‌کند.

بازیابی فایل‌های کلید خصوصی PuTTY

nxc smb 192.168.1.80 -u ieuser -p 123 -M putty

این دستور از ماژول putty در NetExec برای شناسایی و استخراج کلیدهای خصوصی SSH ذخیره‌شده توسط PuTTY که یک SSH client رایج در محیط ویندوز است استفاده می‌کند. این ماژول، هم رجیستری ویندوز را در مسیر

HKCU\Software\SimonTatham\PuTTY\Sessions

و هم فایل‌های ذخیره‌شده روی دیسک (که معمولاً با فرمت .ppk هستند) بررسی می‌کند و hostname‌ها، username‌ها و کلیدهای خصوصی ذخیره‌شده (چه رمزگذاری‌شده و چه به‌صورت متن ساده) را بازیابی می‌کند.

مدیران سیستم معمولاً از PuTTY برای مدیریت سرورهای Linux یا تجهیزات شبکه استفاده می‌کنند، و کلیدهای خصوصی ممکن است با passphrase ضعیف یا بدون passphrase ذخیره شده باشند. اگر کلیدهای SSH در چند محیط مختلف استفاده مجدد شده باشند، مهاجم می‌تواند بدون نیاز به رمز عبور، به سطح دسترسی SSH دست یابد.

بازیابی فایل‌های کلید خصوصی PuTTY

nxc smb 192.168.1.80 -u ieuser -p 123 -M putty

این دستور از ماژول putty در ابزار NetExec برای شناسایی و استخراج کلیدهای خصوصی SSH استفاده می‌کند که توسط Putty (کلاینت محبوب SSH در ویندوز) ذخیره شده‌اند. این فرآیند رجیستری ویندوز را در مسیر

HKCU\Software\SimonTatham\PuTTY\Sessions

و همچنین فایل‌های ذخیره‌شده روی دیسک (معمولاً با فرمت.ppk) بررسی می‌کند و hostname‌ها، username‌ها و کلیدهای خصوصی ذخیره‌شده (چه رمزگذاری‌شده و چه بدون رمز) را استخراج می‌کند.

مدیران سیستم معمولاً از PuTTY برای مدیریت سرورهای Linux یا تجهیزات شبکه استفاده می‌کنند و کلیدهای خصوصی اغلب بدون passphrase یا با عبورهای ضعیف ذخیره می‌شوند. اگر این کلیدهای SSH در چند محیط مختلف مجدداً استفاده شده باشند، مهاجم می‌تواند بدون نیاز به پسورد، سطح دسترسی SSH به سیستم‌ها را به‌دست آورد.

مشاهده کلید استخراج‌شده در سیستم محلی

cat 'putty_IEUser_UbuntuKey_2025-05-22_175949.sec'

این دستور، کلیدخصوصی یا اطلاعات مرتبط با passphrase استخراج‌شده را نمایش می‌دهد. سپس می‌توان کلیدهای SSH بازیابی‌شده را روی اهداف در دسترس تست کرد؛ در سیستم‌های Linux با استفاده از ssh -i و در Windows با ابزارهایی مانند Plink یا WinSCP.

استخراج Session Logهای مربوط به Notepad++

nxc smb 192.168.1.80 -u ieuser -p 123 -M notepad++

این دستور از ماژول notepad++ در ابزار NetExec برای شناسایی داده‌های مربوط به session، فایل‌های پیکربندی و بکاپ‌های ذخیره‌شده توسط Notepad++ استفاده می‌کند. اگرچه Notepad++ برای ذخیره‌سازی اعتبارنامه طراحی نشده است، اما قابلیت ذخیره خودکار می‌تواند به‌طور ناخواسته رمزهای عبور را در اسکریپت‌ها، فایل‌های باز حاوی داده حساس یا حتی تاریخچه clipboard ذخیره کند.

توسعه‌دهندگان، مدیران سیستم و حتی red teamerها ممکن است هنگام کار، به‌صورت موقت secrets را در Notepad++ نگه‌داری کنند. فایل‌های مربوط به session recovery یا backup حتی پس از بسته شدن برنامه نیز باقی می‌مانند و در صورتی که مهاجم از طریق SMB دارای دسترسی معتبر باشد، قابل استخراج هستند.

نکته: این مرحله دقت عملیات جمع‌آوری اطلاعات در فرآیند جمع‌آوری اطلاعات احراز هویت را افزایش می‌دهد. اگرچه همیشه موفقیت‌آمیز نیست، اما می‌تواند مقادیر ارزشمندی مانند access token‌ها، رشته‌های اتصال پایگاه داده و SSH یا اطلاعات admin قرارگرفته در اسکریپت‌های متن‌ساده را آشکار کند.

بازیابی PowerShell Command History

nxc smb 192.168.1.80 -u ieuser -p 123 -M powershell_history

این دستور از ماژول powershell_history در ابزار NetExec برای بازیابی و تحلیل تاریخچه‌ی دستورات PowerShell مربوط به کاربر هدف استفاده می‌کند.

به‌صورت پیش‌فرض، PowerShell تاریخچه دستورات را در مسیر زیر ذخیره می‌کند:

C:\Users\IEUser(user)\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

مهاجمان، مدیران یا توسعه‌دهندگان اغلب دستورات مرتبط با اطلاعات احراز هویت را در PowerShell اجرا می‌کنند؛ برای مثال:

دستورات net use همراه با رمزهای عبور hardcoded، ابزارهای جمع‌آوری اطلاعات در AD همراه با پارامتر -Credential، یا دستورات حساس مانند Set-ADAccountPassword و New-ADUser.

در صورت پاک نشدن تاریخچه، تمامی این دستورات لاگ شده و قابل استخراج هستند و می‌توانند اطلاعات حساس را افشا کنند.

نکته: تاریخچه PowerShell می‌تواند حاوی اطلاعات احراز هویت متن ساده یا جزئیات کلیدی سیستم باشد و در مرحله post-exploitation با فراهم کردن امکان lateral movement یا privilege escalation بر اساس فعالیت کاربر، نقش مهمی ایفا می‌کند.

استخراج فایل‌های پیکربندی WinSCP

nxc smb 192.168.1.80 -u ieuser -p 123 -M winscp

این دستور از ماژول winscp در ابزار NetExec برای استخراج Site Profileها ذخیره‌شده در WinSCP استفاده می‌کند. این پروفایل‌ها ممکن است شامل Password، Username، Hostname و کلیدهای SSH باشند که در فایل WinSCP.ini یا رجیستری ویندوز ذخیره می‌شوند. دستیابی به این داده‌ها می‌تواند مهاجم را قادر به اتصال به اهداف FTP/SFTP/SSH، استخراج داده یا اجرای payload کند.

استخراج پسوردهای VNC

nxc smb 192.168.1.80 -u ieuser -p 123 -M vnc

این دستور از ماژول vnc در ابزار NetExec برای جست‌وجوی اطلاعات احراز هویت ذخیره‌شده VNC در سیستم هدف استفاده می‌کند. این ماژول رجیستری و فایل‌های پیکربندی مربوط به کلاینت‌های رایج VNC مانند UltraVNC, RealVNC, و TightVNC را بررسی می‌کند؛ جایی که معمولاً رمزهای عبور با رمزگذاری ضعیف یا حتی به‌صورت متن ساده ذخیره می‌شوند. نمونه مسیرهای بررسی‌شده:

HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Password
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\vncserver

NetExec تلاش می‌کند اطلاعات احراز هویت یافت‌شده را رمزگشایی کند.

VNC دسترسی از راه دور فراهم می‌کند و در صورت استخراج کلمات عبور از رجیستری یا فایل‌های پیکربندی، مهاجم می‌تواند بدون نیاز به احراز هویت در Windows به سیستم هدف دسترسی پیدا کند. این اطلاعات احراز هویت اغلب در چند سیستم مختلف استفاده می‌شوند، که امکان lateral movement و persistence در شبکه را برای مهاجم فراهم می‌کند.

نکته: استخراج اطلاعات احراز هویت VNC به مهاجمان اجازه می‌دهد مکانیزم احراز هویت ویندوز را دور بزنند؛ این امر به‌ویژه در سیستم‌های legacy یا محیط‌هایی با پیکربندی نامناسب پشتیبانی از راه دور مشاهده می‌شود.

استخراج Wi-Fi Credentials

nxc smb 192.168.1.46 -u administrator -p 123 -M wifi

این دستور از ماژول wifi در ابزار NetExec برای استخراج اطلاعات احراز هویت ذخیره شده Wi-FI شامل SSIDها و PSKها از سیستم Windows هدف استفاده می‌کند. این فرآیند با کوئری گرفتن از PowerShell یا خواندن مسیرهای مربوط به رجیستری انجام می‌شود و امکان دسترسی مهاجم به شبکه‌های داخلی، pivot کردن به Wi-Fiهای ناامن و استفاده مجدد از اطلاعات احراز هویت را فراهم می‌کند.

بررسی Dumping Backup Operators Permission

nxc smb 192.168.1.53 -u raj -p Password@1 -M backup_operator

این دستور از ماژول backup_operator در ابزار NetExec برای بررسی این موضوع استفاده می‌کند که آیا کاربر (برای مثال raj) عضو گروه Backup Operators است یا خیر. همچنین بررسی می‌کند که آیا کاربر می‌تواند فایل‌های حساس مانند SAM, SYSTEM, SECURITY و NTDS.dit را بخواند؛ فایل‌هایی که معمولاً فقط برای administrators قابل دسترسی هستند.

اعضای گروه Backup Operators می‌توانند بدون توجه به مجوزهای فایل‌سیستم، عملیات پشتیبان‌گیری و بازیابی انجام دهند. بنابراین حتی یک کاربر بدون دسترسی admin نیز می‌تواند:

استخراج dit database
دسترسی به SAM و SYSTEM hive
دور زدن برخی از protections سیستم

این موضوع، یک کاربر با سطح دسترسی پایین اما عضو Backup Operators را به یک domain takeover vector بسیار مهم تبدیل می‌کند.

نکته: گروه Backup Operators در ADهایی با پیکربندی اشتباه یک گروه با سطح ریسک بالا محسوب می‌شود و باید مشابه کاربران مجوزدار مدیریت شود؛ همراه با audit دوره‌ای اعضا.

بررسی Dumping NTDS.dit Using an Authenticated User

nxc smb 192.168.1.53 -u yashika -p Password@1 --ntds

این دستور از قابلیت –ntds در NetExec برای استخراج فایل NTDS.dit استفاده می‌کند. فایل NTDS.dit شامل داده‌های حیاتی Active Directory از جمله usernameها، NTLM hashها، group membership‌ها و اطلاعات domain trust است. NetExec این فرآیند را با استفاده از Volume Shadow Copy و استخراج hive مربوط به SYSTEM جهت رمزگشایی hashها انجام می‌دهد.

NTDS.dit یکی از کلیدی‌ترین اهداف مهاجمان در یک Windows domain است. استخراج آن امکان موارد زیر را فراهم می‌کند:

کرک کردن آفلاین برای کلمات عبور دامنه
اجرای Pass-the-Hash attack
دسترسی کامل به تمام کاربران دامنه، شامل administrators و service accountها

این مرحله برای عملیات red team یا APT یک گام کلیدی محسوب می‌شود.

نکته: استخراج NTDS.dit امکان domain-wide credential exfiltration را فراهم می‌کند و به مهاجم اجازه می‌دهد hashهای ضعیف را crack کند، آن‌ها را در Pass-the-Hash استفاده کند یا حتی Golden Ticket با استفاده از krbtgt credentials جعل نماید.

استخراج gMSA Credentials

nxc smb 192.168.1.53 -u komal -p Passwor@1 –gmsa

این دستور از قابلیت gmsa در NetExec برای جمع آوری کردن Group Managed Service Account (gMSA) ‌ها در AD استفاده می‌کند. اگر سطح دسترسی اجازه دهد، NetExec می‌تواند account name‌ها، کلیدهای Kerberos و Metadataهای مرتبط را بازیابی کند.

استخراج secret مربوط به gMSA به مهاجم اجازه می‌دهد که آن حساب را سرقت کند، lateral movement انجام دهد و به سرویس‌هایی مانند MSSQL یا IIS احراز هویت کند.

بازیابی LAPS Password با استفاده از NetExec

nxc smb 192.168.1.53 -u komal -p Passwor@1 -M laps

این دستور از ماژول laps در ابزار NetExec برای هدف قرار دادن Microsoft LAPS (Local Administrator Password Solution) استفاده می‌کند؛ قابلیتی که پسوردهای یکتای local admin را در Active Directory ذخیره می‌کند. این ماژول تلاش می‌کند مقدار attribute مربوط به ms-Mcs-AdmPwd را روی حساب‌های کامپیوتر کوئری کند تا پسورد فعلی local admin را استخراج کند.

در صورت موفقیت، این فرآیند دسترسی local admin به ماشین هدف را فراهم می‌کند. این دسترسی امکان مواردی مانند privilege escalation، lateral movement و کنترل کامل سیستم از طریق پروتکل‌هایی مانند SMB، PSExec و WinRM را فراهم می‌کند.

راهکارهای کاهش تهدید

محدود کردن دسترسی SMB (به‌ویژه remote registry و file share) برای حساب‌هایی با سطح دسترسی پایین.
شناسایی دسترسی به LSA، SAM یا hiveهای رجیستری از طریق SMB
غیرفعال کردن auto-login و حذف sessionهای ذخیره‌شده در برنامه‌ها.
کاهش عضویت در گروه‌های Backup Operator و gMSA
بررسی الگوهای غیرطبیعی دسترسی به configهای WinSCP، PuTTY، VNC و مشابه.