WDigest:清除内存中的密码,使mimikatz等工具无法获取到明文
导语:WDigest:清除内存中的密码
它是什么?
WDigest.dll是在Windows XP操作系统中引入的。摘要认证协议设计用于超文本传输协议(HTTP)和简单认证安全层(SASL)交换,如RFC 2617和2831中所述。
许多人认为Digest认证是一种与Web浏览器一起使用以验证浏览Internet的用户的协议。然而,Digest认证也是可以用于认证的通用协议,并且通过使用SASL,它可以提供完整性保护。例如,您可以使用摘要身份验证:
经过身份验证的客户端访问网站 使用SASL进行身份验证客户端访问 使用LDAP对目录服务进行身份验证的身份验证客户端访问
为什么不好
WDigest的问题是它将密码存储在内存中,并且无论是否使用它,都会将其存储在内存中。除非密码以明文保存在内存中,否则WDigest无法正常工作,因此如果使用WDigest,则无法进行修复。以下操作系统受到影响:Windows 7,Windows 8,Windows 8.1,Windows Server 2008,Windows Server 2008R2和Windows Server 2012。
例子
以下是使用Meterpreter在Windows Server 2008 R2上运行WDigest的示例。红色箭头指向用户的密码,现在可以用来转移到其他机器和其他网络(密码重复利用)。
修复前
修复后
如何修复
在禁用WDigest之前,首先,请确保您的环境未通过查看您的服务器和域控制器日志或SIEM用于事件ID 4776和4624.更多信息可以在此链接的底部找到。我还没有遇到使用WDigest的应用程序。如果您已经看到WDigest今天仍在使用中,请与我联系或发布。经过验证后,您的环境中没有使用WDigest,请遵循以下建议:
Windows Server 2008:从HKLM\System\CurrentControl\SetControl\LsaSecurityPack中删除WDigest,然后重新启动服务器。
删除和重新启动后
Windows Server 2008 R2-2012,Windows 7,Windows 8:下载并安装KB2871997,然后在HKLM\System\Current\Control\SetControl\SecurityProviders\WDigest中创建/设置UseLogonCredential= dword:00000000
Windows Server 2012 R2-2016:默认情况下禁用WDigest,不执行任何操作
概要
如果可以,将WDigest从整个环境中禁止从工作站到服务器到域控制器。修复程序相当简单,每次都可以生效。凭证的作用在过去一直很大,一旦在Petya恶意软件中看到,未来一定会更大。我将很快发布一篇关于如何阻止NTLM哈希值记录的文章,敬请期待!如果您有任何问题,请在下方发帖或直接发送给我。感谢阅读,希望这有帮助!
来源