Рубрика Сбор учетных данных с использованием NetExec (nxc)

В современных корпоративных средах учетные записи Active Directory являются полезным подспорьем для атакующих. Независимо от того, участвуете ли вы в Red Team проекте, работаете специалистом по тестированию на проникновение или имитируете действия реальных злоумышленников, добыча учетных данных является ключевым этапом для успешного повышения уровня привилегий, расширения поверхности атаки и устойчивого закрепления. Но каким образом злоумышленники собирают эти учетные данные в реальных условиях? Представляем вам NetExec (nxc) — мощный современный инструмент пост-эксплуатации, наследник популярного инструмента CrackMapExec. NetExec разработан для автоматизации и упрощения процесса сбора учетных данных, делая его одним из наиболее эффективных инструментов для Red Team и специалистов по информационной безопасности, работающих в среде Windows и Active Directory.

Что такое NetExec (nxc)?​

NetExec представляет собой универсальный инструмент для внутрянщиков. Он поддерживает широкий спектр протоколов, включая SMB, WinRM и прочие, позволяет получать учетные данные из множества источников, среди которых:

• память LSASS (пароли в открытом виде и NTLM хэши);
• реестр Windows и Winlogon ключи;
• браузеры, Wi-Fi и SSH клиенты;
• пароли LAPS, хэши из NTDS.dit;
• Group Managed Service Accounts (gMSA);
• сторонние инструменты, такие как PuTTY, mRemoteNG и Notepad++.

В данном руководстве мы рассмотрим варианты использования NetExec для получения доступа к учетным данным в уязвимой среде Active Directory. Каждый этап отражает реальные тактические приемы, часто используемые при тестировании защищенности компаний.

Почему это важно для красных и синих команд?​

Для представителей Red Team данное руководство демонстрирует, как эффективно применять NetExec для выявления и эксплуатации слабых конфигураций, при имитации поведение реального злоумышленника.

Для защитников и SOC оно подчеркивает ключевые возможности обнаружения и варианты неправильных настроек, которые часто остаются незамеченными, включая:

• хранение учетных данных в открытом виде;
• неправильное использование служебных аккаунтов;
• плохое управление профилями Wi-Fi и реестром;
• избыточные права пользователей (например, членство в группе операторов резервного копирования).

Содержание​

• Получение локальных хэшей SAM
• Проверка валидности полученных хэшей
• Извлечение секретов LSA
• Winlogon
• Дамп учетных записей DPAPI
• Извлечение учетных данных из памяти LSASS с помощью LSASSY
• Использование модуля nanodump для дампа памяти LSASS
• Извлечение сохраненных учетных данных из конфигурации mRemoteNG
• Доступ к файлам приватных ключей PuTTY
• Чтение журналов сеансов Notepad++
• Получение истории команд PowerShell
• Анализ файлов конфигурации WinSCP
• Выгрузка паролей VNC
• Считывание профилей Wi-Fi / PSK
• Поиск операторов резервного копирования
• Дамп NTDS.dit
• Извлечение учетных данных gMSA
• Получение пароля LAPS с помощью NetExec (nxc)
• Рекомендации по смягчению угроз

Вы готовы прокачать навыки извлечения учетных данных? Давайте погрузимся в процесс извлечения учетных данных с помощью NetExec различными способами.

Получение локальных хэшей SAM​

nxc smb 192.168.1.80 -u ieuser -p 123 –sam

Эта команда инструктирует NetExec подключиться к целевой системе через SMB и извлечь NTLM хэши паролей из локальной базы данных SAM, хранящей учетные данные локальных пользователей.

Доступ к хэшам SAM позволяет злоумышленникам осуществлять оффлайн-подбор паролей. Также возможна атака Pass-the-Hash (на системах с одинаковыми локальными учетными записями).

Тестирование хэша в качестве учетных данных:​

impacket-psexec ieuser@192.168.180 -hashes:3dbde697d71690a769204beb12283678

Данная команда использует добытый NTLM-хэш и позволяет удаленно выполнять команды, обеспечивая горизонтальное перемещение и повышение привилегий в сети.

Извлечение секретов LSA​

Секреты LSA представляют большую ценность в фазе постэксплуатации, так как хранят учетные данные, секреты служебных аккаунтов и ключи для расшифровки другой конфиденциальной информации. В корпоративных сетях эти секреты играют ключевую роль, позволяя перемещаться между машинами и службами.

nxc smb 192.168.1.80 -u ieuser -p 123 --lsa

Извлечение данных Winlogon​

nxc smb 192.168.1.80 -u ieuser -p 123 -M reg-winlogon

Эта команда использует модуль reg-winlogon утилиты NetExec для чтения ключей реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, управляющих автоматическим входом в систему Windows. Значения ключей, такие как AutoAdminLogon, DefaultUsername и DefaultPassword, могут содержать учетные данные в открытом виде, делая их ценной целью для сбора учетных данных, особенно в неправильно настроенных средах, где включен автоматический вход.

Дамп учетных данных DPAPI​

DPAPI (Data Protection API) — это встроенная в Windows технология, обеспечивающая надежное хранение секретных данных пользователей, таких как платежные данные, пароли браузеров, учетные записи Outlook, RDP, Wi-Fi и кэшированные доменные учетные данные. DPAPI шифрует их с использованием уникальных ключей, привязанных к конкретному пользователю и хранящихся локально.

nxc smb 192.168.1.80 -u ieuser -p 123 --dpapi

Команда извлекает пароли в открытом виде, что может служить потенциальным вектором повышения привилегий или горизонтального перемещения.

В результате выполнения команды получены:

• Дамп Windows Credential Manager («raj:Password@1»).
• Восстановленный пароль входа в Facebook из браузера Microsoft Edge.
• Пароль от аккаунта LinkedIn из браузера Firefox.

Примечание: Эта информация представляет собой ценнейший ресурс при пост-эксплуатации, позволяя осуществлять горизонтальное перемещение и захват аккаунтов в разных сервисах.

Извлечение учетных данных из LSASS с помощью LSASSY​

nxc smb 192.168.1.80 -u ieuser -p 123 -M lsassy

Эта команда задействует модуль lsassy инструмента NetExec для извлечения учетных данных из службы LSASS (Local Security Authority Subsystem Service), управляющей процессами входа в систему и хранения чувствительных данных, включая хэши паролей и билеты Kerberos. Модуль автоматизирует дамп учетных данных различными способами: с помощью утилиты Procdump; через инъекцию Comsvcs.dll; с помощью MiniDumpWriteDump API.

Почему это важно:​

Служба LSASS хранит в памяти конфиденциальные данные, включая NTLM хэши, пароли в открытом виде (если включен механизм WDigest), билеты Kerberos и кэшированные учетные данные. Сбор этой информации предоставляет атакующим новые возможность дальнейшей эксплуатации, особенно если в текущий момент залогинились администраторы домена или другие пользователи с повышенными привилегиями.

Извлечение содержимого памяти LSASS с модулем Nanodump​

nxc smb 192.168.1.80 -u ieuser -p 123 -M nanodump

Данная команда применяет модуль nanodump инструмента NetExec для удаленного получения содержимого LSASS с использованием утилиты NanoDump — современного и скрытого средства дампа памяти LSASS, разработанного специально для обхода защитных механизмов вроде Windows Defender, AMSI и ограничений доступа к службе LSASS.

Почему это эффективно:​

NanoDump является высокоэффективным инструментом получения учетных данных благодаря своей способности обходить детекты антивирусных решений и EDR-систем, избегать ограничения доступа и возможности получить файл дампа на ПК атакующего, для последующего анализа вне системы. Это делает этот метод менее заметным и более надежным по сравнению с остальными.

Извлечение хранимых учетных данных из конфигурации mRemoteNG​

nxc smb 192.168.1.80 -u ieuser -p 123 -M mremoteng

Этот модуль нацелен на приложение mRemoteNG, популярное среди системных администраторов как менеджер удаленных подключений. Модуль mremoteng инструмента NetExec ищет конфигурационные файлы типа confCons.xml, расшифровывает содержащиеся там учетные данные с использованием известных статичных ключей и выводит их в читаемом виде для дальнейшего использования.

Почему это эффективно:​

Администраторы часто сохраняют учетные данные от высокопривилегированных УЗ и повторно используют пароли в менеджерах удалённых сессий ради удобства. Извлечённые таким образом УЗ, с высокой долей вероятности, могут оказаться администраторами домена, служебными учётками, или иметь повышенные привилегии, что позволит перемещаться внутри сети через WinRM, RDP или SSH.

Поиск приватных ключей PuTTY​

nxc smb 192.168.1.80 -u ieuser -p 123 -M putty

Эта команда задействует модуль putty инструмента NetExec для поиска и извлечения приватных ключей SSH, используемых клиентом PuTTY — популярным решением для Windows. Команда проверяет как реестр Windows (HKCU\\Software\\SimonTatham\\PuTTY\\Sessions), так и сами файлы на диске (обычно формата .ppk), извлекая сохранённые имена хостов, пользователей и приватные ключи.

Почему это эффективно:​

Администраторы часто используют PuTTY для управления серверами Linux и сетевыми устройствами, при этом приватные ключи нередко хранятся с простыми или вовсе отсутствующими паролями-фразами. Если SSH-ключи используются повторно в разных местах, злоумышленники получают SSH доступ без необходимости ввода пароля.

Просмотр выгруженного ключа​

cat 'putty_IEUser_UbuntuKey_2025-05-22_175949.sec'

Команда отображает извлечённый приватный ключ. Для проверки извлечённых SSH-клюшей на доступных целях используйте команду ssh -i для Linux или инструменты наподобие Plink или WinSCP для Windows.

Чтение журналов сеансов Notepad++​

nxc smb 192.168.1.80 -u ieuser -p 123 -M notepad++

Эта команда использует модуль notepad++ инструмента NetExec для поиска данных текущих сеансов, файлов настроек или резервных копий, созданных редактором Notepad++ (широко используемый текстовый редакторо). Хотя сам Notepad++ изначально не предназначен для хранения учетных данных, его автосохранение может случайно сохранить пароли из скриптов, открытых файлов с конфиденциальной информацией или даже буфера обмена.

Почему это важно:​

Разработчики и системные администраторы, в процессе работы, могут временно хранить секреты в Notepad++. Файлы восстановления сессии и бэкапы сохраняются даже после закрытия редактора и могут быть получены через SMB (при наличии необходимых прав доступа).

Заметка: Данный шаг помогает углубить разведку в процессе сбора учетных данных. Хотя успех не гарантирован, вы можете найти важные элементы, такие как токены доступа, строки подключения к базам данных, SSH или административные учетные данные в скриптах.

Получение журнала команд PowerShell​

nxc smb 192.168.1.80 -u ieuser -p 123 -M powershell_history

Эта команда использует модуль powershell_history инструмента NetExec для извлечения и анализа журналов команд PowerShell с целевой системы пользователя.

По умолчанию PowerShell сохраняет историю введённых команд в следующем месте:

C:\\Users\\<ИмяПользователя>\\AppData\\Roaming\\Microsoft\\Windows\\PowerShell\\PSReadline\\ConsoleHost_history.txt

Почему это важно:​

Атакующие, администраторы и разработчики часто используют команды связанные с управлением учетными данными (например, net use с жестко закодированным паролем или команды вида Set-ADAccountPassword и New-ADUser). Если журнал не очищается, эти команды хранятся в логах и могут быть восстановлены, предоставляя доступ к важным данным.

Извлечение конфигурационных файлов WinSCP​

nxc smb 192.168.1.80 -u ieuser -p 123 -M winscp

Эта команда использует модуль winscp инструмента NetExec для извлечения профилей WinSCP, которые могут содержать адреса удалённых серверов, имена пользователей, пароли (открытым текстом или в кодировке Base64), а также SSH-ключи. Эти данные могут находиться как в файле WinSCP.ini, так и в реестре Windows. Их наличие потенциально даёт атакующему возможность получать доступ к FTP-, SFTP- и SSH-сервисам, скачивать данные или внедрять вредоносные нагрузки.

Извлечение паролей VNC​

nxc smb 192.168.1.80 -u ieuser -p 123 -M vnc

Эта команда задействует модуль vnc инструмента NetExec для поиска сохранённых паролей от VNC на целевом компьютере. Модуль ищет учетные данные в реестре и конфигурационных файлах, используемых клиентами VNC (например, UltraVNC, RealVNC и TightVNC). Проверяются такие местоположения, как:

- HKEY_LOCAL_MACHINE\\SOFTWARE\\ORL\\WinVNC3\\Password

- HKEY_LOCAL_MACHINE\\SOFTWARE\\RealVNC\\vncserver

NetExec пытается дешифровать любые обнаруженные учетные данные.

Почему это важно:​

Протокол VNC обеспечивает удалённый доступ к рабочему столу компьютера. Если из реестра или конфигурационных файлов удастся извлечь пароли, злоумышленники смогут получить доступ к системе без действительных учетных данных пользователей. Такие пароли часто повторяются, что обеспечивает продвижение атаки внутрь инфраструктуры и длительное сохранение доступа.

Заметка: Получение паролей от VNC позволяет обойти стандартную аутентификацию Windows.

Извлечение учетных данных от Wi-Fi​

nxc smb 192.168.1.46 -u administrator -p 123 -M wifi

Команда использует модуль wifi инструмента NetExec для извлечения сохранённых паролей от беспроводных сетей (SSID и PSK) с целевого устройства Windows через PowerShell или чтение соответствующих путей реестра. Это позволяет атакующим проникнуть внутрь корпоративной сетей через Wi-Fi и попробовать полученные учетные данные в других местах.

Поиск операторов резервного копирования​

nxc smb 192.168.1.53 -u raj -p Password@1 -M backup_operator

Эта команда использует модуль backup_operator инструмента NetExec для проверки принадлежности пользователя (например, raj) к группе операторов резервного копирования. Аналогично проверяется, имеет ли пользователь право читать защищённые файлы, такие как SAM, SYSTEM, SECURITY и NTDS.dit, доступ к которым обычным пользователям ограничен.

Почему это важно:​

Операторам резервного копирования предоставлены полномочия обходить ограничения файловой системы для операций резервного копирования и восстановления. Даже без административных прав участник группы может:

• Экспортировать базу данных NTDS.dit,
• Получить доступ к SAM и SYSTEM,
• Обойти некоторые элементы системной защиты.

Таким образом, обычный пользователь, с правами оператора резервного копирования, становится значимым фактором риска захвата всей доменной среды.

Примечание: Группа операторов резервного копирования относится к категории высокого риска. Она должна рассматриваться как привилегированная группа с регулярным аудитом состава участников.

Выгрузка файла NTDS.dit​

nxc smb 192.168.1.53 -u yashika -p Password@1 --ntds

Команда для извлечения файла NTDS.dit, содержащего ключевые данные Active Directory (имена пользователей, хеши паролей NTLM, информацию о группах и подробности доверительных связей доменов). NetExec автоматически создаёт теневую копию диска и экспортирует SYSTEM для расшифровки хешей.

Почему это важно:​

Файл NTDS.dit играет ключевую в среде Active Directory. Его получение позволяет проводить оффлайн-подбор паролей, атаки методом Pass-the-hash и полностью контролировать всех пользователей домена, включая администраторов и служебные учётные записи.

Заметка: Дамп NTDS.dit позволяет получить все учетные данные домена, предоставляя возможность взломать слабые хеши, повторно использовать их в атаках Pass-the-Hash или создать Золотой Билет (Golden Ticket) с помощью учетных данных krbtgt.

Извлечение учетных данных gMSA​

nxc smb 192.168.1.53 -u komal -p Passwor@1 –gmsa

Команда для выявления Group Managed Service Account (gMSA). Она извлекает имена, криптографические ключи Kerberos и сопутствующие метаданные (если доступ разрешён).

Почему это важно:​

Извлечение секрета управляемой учетной записи сервиса (gMSA) позволяет злоумышленникам действовать от его лица, расширяя поверхность атаки.

Извлечение пароля LAPS с помощью NetExec (nxc)​

nxc smb 192.168.1.53 -u komal -p Passwor@1 -M laps

Эта команда активирует модуль laps инструмента NetExec для извлечения LAPS (Local Administrator Password Solution — хранит уникальные пароли локальных администраторов Active Directory). Модуль запрашивает атрибут ms-Mcs-AdmPwd объектов компьютер, пытаясь достать действующий пароль локального администратора.

Почему это важно:​

Успешное выполнение операции даёт доступ с правами локального администратора к компьютерам под управлением LAPS. Это позволяет повысить уровень привилегий и свободно передвигаться по сети, используя SMB, PSExec, WinRM и другие методы, а также получить полный контроль над устройствами.

Дополнительную информацию по вопросам получения учетных данных можно посмотреть здесь.

Способы защиты:​

• Ограничение доступа по SMB: ограничьте удалённый доступ к реестру и файловым ресурсам для обычных пользователей.
• Контроль доступ: настройте отправку уведомлений при попытках обращения к компонентам LSA, SAM или реестру через SMB.
• Ограничивайте сохранение учетных данных: рекомендуем отключить автозаполнение и включить удаление сессий в приложениях.
• Сократите число ролей: минимизируйте количество членов группы "Операторы резервного копирования" и "gMSA".
• Следите за подозрительной активностью: выявляйте подозрительные паттерны обращения к конфигурациям WinSCP, PuTTY, VNC.