В этой статье будет рассмотрена атака с целью получения учетных записей из кэша домена и различные техники для извлечения хэшей паролей через эксплуатацию пользователя домена.

Domain Cache credential (DCC2)

Microsoft Windows хранит информацию о предыдущей авторизации пользователей локально. Соответственно, эти сведения используются в случае, если сервер авторизации (logon server) окажется недоступным. Эта технология носит название Domain Cache credential (или по другому MSCACHE или MSCASH хэш), которая сортирует хэши паролей пользователей, чтобы вы не смогли выполнить атаки навроде pass-the-hash. Для генерации хэшей используется алгоритм MSCACHE, хранящихся локально в реестре операционной системы Windows (по умолчанию, последние 10 хэшей).

Существует две версии MSCASH/MSCACHE (или DCC):

MSCACHEV1 или DCC1, используемый до Vista и Server 2003

MSCACHEV2 или DCC2, используемый после Vista и Server 2003

Переходим к рассмотрению техник для извлечения хэшей.

Metasploit

Metasploit – первый инструмент в нашем списке, помогающий пентестеру извлекать MSCACHE хэши, хранимые в реестре. Соответствующий модуль извлекает хэши домена, которые были закэшированы в результате настройки групповой политики (GPO). По умолчанию Windows хранит информацию о 10 последних успешных авторизаций:

use post/windows/gather/cachedump

set session 2

exploit

По результатам отработки модуля выгружаются хэши паролей из DCC2/MSCACHE, как показано на рисунке ниже:

Impacket

Этот тип хэшей также можно извлечь при помощи Python и библиотек impacket. Перед использованием данной техники следует сохранить ветви реестра system и security на локальной машине при помощи следующих команд:

reg save hklm\system c:\system

reg save hklm\security c:\secuirty

Рисунок: Сохранение ветвей реестра на локальную машину

Далее скопируйте полученные файлы туда, где установлен impacket. В нашем случае копирование происходит в систему с Kali Linux. Затем для извлечения DCC2/MSCACHE хэшей используем следующую команду:

python secretsdump.py -security -system system LOCAL

Результат отработки скрипта показан на рисунке ниже:

Рисунок: Выгрузка хэшей при помощи скрипта secretsdump.py

Mimikatz

Ни для кого не секрет, что mimikatz – одна из наилучших утилит в арсенале пентестера для извлечения учетных записей в ОС Windows. С целью извлечения DCC2 / MSCACHEv2 хэшей необходимо установить mimikatz на скомпрометированной машине и выполнить следующую команду:

privilege::debug

token::elevate

lsadump::cache

Результат выполнения вышеуказанных команд показан на рисунке ниже:

Рисунок: Выгрузка хэшей при помощи mimikatz

PowerShell Empire

Переходим к следующей технике. В PowerShell Empire есть модуль для извлечения MSCACHEV2 хэшей из реестра скомпрометированной машины. Загрузите и запустите Empire в вашей локальной системе, скомпрометируйте целевой хост с целью использования пост-модуля, а затем введите следующую команду:

usemodule credentails/mimikatz/cache

set agent <agent_id>

execute

Результаты работы модуля по выгрузке MSCACHEv2 хэшей показаны на рисунке ниже:

Рисунок: Результат выгрузки хэшей при помощи модуля в PowerShell Empire

Koadic

Как и в случае с Powershell Empire, вы можете использовать утилиту Koadic для извлечения DCC2 хэшей при помощи следующего модуля:

use mimikatz_dotnet2js

set MIMICMD lsadump::cache

Результаты работы этого модуля показаны на рисунке ниже:

Рисунок: Извлечение хэшей при помощи Koadic

Python скрипт

Как и в примере с impacket вы можете воспользоваться скриптом mscache.py для извлечения MSCACHEV2 хэшей. Загрузите скрипт с github, и во время запуска в качестве параметров укажите пути к выгруженным файлам (как рассматривалось в разделе с impacket):

python mscache.py --security /root/Desktop/security –system /root/Desktop/system

Результаты работы скрипта показаны на рисунке ниже:

Рисунок: Выгрузка хэшей при помощи скрипта mscache.py

Расшифровка полученных хэшей

Как мы уже знаем, эти хэши не используются во время атак pass the hash, и нам нужна утилита john the ripper для расшифровки:

john --format=mscasch2 --wordlist=/usr/share/wordlists/rockyou.txt mhash

В результате получаем пароль в открытом виде для указанного хэша. Старайтесь не путаться между понятиями DCC2 и MSCACHEV2/MSCASH. Эти хэши идентичные и могут извлекаться при помощи вышеуказанных техник.

Источник здесь - 我的

И это – факт. По мнению многих специалистов данное явление происходит потому, чтограждане стали массово уходить в серую экономику и переводить свои зарплаты и сбережения в наличные. Этот процесс был запущен в марте, когда произошел обвал цен на нефть, и случилась очередная девальвация рубля. А с объявлением псевдокарантинных мер данный процесс только набрал обороты.

Говорящие головы из Минфина и ЦБ заверяли, что как только карантин будет снят и экономика начнет восстанавливаться, люди сами станут отказываться от наличных. Но этого не происходит. А в июле и первой половине августа масса наличности выросла еще на 395,8 млрд. руб.

Центробанку не может (или не хочет) взять под контроль размер денежной массы, поэтому правительство вернулось к проектам по ограничению наличных расчетов между физиками. Как следствие – растет цена обнала.

Обратим внимание на цифры: на 1 июля 2020 года Центробанком зафиксирован рекордный объем наличных в обороте — 12,431 трлн рублей. А в июле и первой половине августа масса наличности выросла еще на 395,8 млрд руб., до 12,8 трлн рублей. Это на 2 трлн рублей больше, чем до кризиса.

Для того, чтобы обеспечить запросы людей и бизнеса в кэше, регулятор напечатал с начала года 1,802 трлн рублей. Больше всего было отпечатано 5-тысячных купюр — их число выросло с 4,373 до 5,185 млрд единиц. В обороте доля 5-тысячных купюр стала занимать 78%.

Учитывая, что одна банкнота весит около 1 грамма, ЦБ всего за полгода напечатал около 812 тонн банкнот.

Есть мнение, что выше обозначенный спрос на наличные растет из-за того, что люди и бизнес стали массово уходить в серую экономику. Антикризисная помощь со стороны государства многих граждан и предприятий не коснулась, в результате этого вырос спрос на наличные. Люди и бизнес начали выводить деньги из банков и стали чаще рассчитываться напрямую, без банковских терминалов.

Банкиры же считают, что основной вклад в рост наличных сделали именно компании, а не граждане. Прежде всего потому, что 2 трлн.руб. - сумма слишком большая для физлиц. Кроме того, верность данного тезиса подтверждает чисто технический аспект - большинство денег было снято не через банкоматы, а через кассы крупных банков, а так делают в основном юрлица.

Стоит заметить, что объем наличной денежной массы вырос везде — в США, Германии, Франции, Испании и т.д. Но в России все-таки темпы роста кэша выше, чем в других странах.

Граждане стали меньше доверять банкам и предприятия часть своей выручки стараются оставить в кэше. Причем, ЦБ сам признал это в своем докладе о денежно-кредитной политике.

Понятно, что данная ситуация с увеличением оборота денежной наличности, а точнее с повышением серых оборотов, очень не нравиться нашему правительству. Со всех этих сумм не уплачиваются налоги, и бюджет уже терпит убытки. Если так и будет продолжаться, ни к чему хорошему это не приведет.

Правительство РФ уже начало реализацию комплексных мероприятий, целью которых является выведение доходов из теневого сектора. В частности ускорилось создание единого реестра населения страны, который в настоящее время наполняется данными, в том числе и о счетах и доходах граждан.

Но кроме этого, как стало известно, Минфин России рассматривает вопрос об ограничении наличных расчетов с физическими лицами, а так же о запрете предприятиям выплачивать заработную плату наличными деньгами. Налоговики тоже планируют ограничить наличные расчеты с физлицами. Предельная сумма по их мнению должна составить 200 000 рублей.

Дополнительно чиновники планируют обязать работодателей проводить все результатные расчеты по зарплате исключительно по безналу. Впервые о таком вариант Минфин заговорил еще в 2012 году. Правда, тогда чиновники планировали сделать исключение для компаний с численностью менее 35 человек. Согласно тексту нового внутреннего доклада ФНС в этот раз исключений нет.

Все это будет делаться для выведения доходов граждан из теневой экономики. Логика понятна — не будет теневых доходов у физлиц, предприятиям так же не будет смысла выводить деньги в кэш. Таким образом, государство не только сократит оборот наличных денег, но и легализует доходы.

В качестве итого: вместо работы по улучшению экономического климата в стране и созданию благоприятных условий для бизнеса и людей, в очередной раз закручиваются гайки. Хотя все и понимают, что данные меры не принесут улучшения жизни населения и предпринимательства, но по этому пути уже двигаются европейские страны и США, а наши финансовые власти всегда копируют западную кальку.

Утащил отсюда:

http://1w.ru/articles/589-rossijane-vyhodjat-v-kesh.html

П.С. Неожиданно, без видимых причин банк изменил лимиты на выдачу налички с корпоративной карты. Было - 600.000 в месяц, стало - 200.000 в месяц. Думаю - с чего бы? А оно вот с чего...