go-secdump 0.5.0

go-secdump je bezpečnostní nástroj implementovaný v jazyce Go, který slouží k forenzní analýze a extrakci citlivých údajů (včetně NT hashů a LSA tajemství) ze vzdálených systémů Windows. Na rozdíl od tradičních metod, které vyžadují spuštění kódu přímo na cílovém stroji nebo ukládání větví registru na disk, tento nástroj komunikuje přímo s rozhraním Windows Remote Registry skrze protokol SMB. Využívá k tomu knihovnu go-smb, což mu umožňuje operovat čistě v paměti bez zanechání stop na souborovém systému cíle.

Klíčovým technickým prvkem je schopnost obejít omezení přístupu k větvím SAM a SECURITY, které jsou standardně přístupné pouze pro účet SYSTEM. Nástroj primárně využívá techniku založenou na uplatnění privilegia SeBackupPrivilege při volání požadavku BaseRegOpenKey, což umožňuje otevřít klíče registru nezávisle na nastavených seznamech řízení přístupu (DACL). V případě selhání této metody nabízí alternativní režim dočasné modifikace DACL záznamů (WriteDACL). Nástroj podporuje komplexní autentizační mechanismy včetně Kerberos a NTLM relaying, čímž umožňuje integraci do pokročilých síťových útoků.

Hlavní funkcionality

• Vzdálená extrakce SAM: Získávání NT hashů lokálních uživatelů přímo z paměti registru.
• LSA Secrets: Dekódování kritických tajemství jako jsou hesla k počítačovým účtům ($MACHINE.ACC), DPAPI klíče nebo NL$KM.
• DCC2 (MSCACHE) extrakce: Získávání doménových hashů uložených v mezipaměti pro offline útoky.
• SeBackupPrivilege Exploitation: Využití systémových privilegií pro přístup k chráněným klíčům bez modifikace oprávnění.
• SMB Relay & SOCKS: Podpora pro relay útoky a tunelování provozu skrze SOCKS5 proxy (např. v kombinaci s ntlmrelayx).
• Bezagentní architektura: Veškerá logika probíhá na straně klienta, cíl je pouze pasivně dotazován skrze standardní RPC volání.
• Podpora Kerberos: Autentizace pomocí lístků (CCACHE) a šifrování AES128/256.