Nel contest Active Directory, NTDS.dit (New Technology Directory Services) è il database ESE che risiede su ogni Domain Controller di Active Directory (per default in %SystemRoot%\NTDS). Dentro troviamo l’intero catalogo del dominio—oggetti utente, gruppi, computer, trust e i relativi attributi più sensibili: SID, hash LM/NT, chiavi Kerberos, chiavi DPAPI di backup, password LAPS, segreti di trust, ecc. In pratica è la cassaforte centrale che regola l’autenticazione di tutta la foresta: se un attaccante riuscisse a copiarla (insieme all’hive SYSTEM che contiene la bootkey) potrebbe decifrare gli hash offline o usarli in attacchi Pass-the-Hash e prendere il controllo del dominio.
Immaginate NTDS.dit come un immenso archivio di cartelle sospese: molte pagine sono cifrate o scritte in codice. ntdissector è il laser che taglia la cassaforte, estrae ogni fascicolo e lo traduce in JSON leggibile, pronto all’analisi per Red Team e Blue Team.
Funzionalità chiave
Dump completo + output JSON leggibile, con cache di schema e mapping ID/DN per velocizzare le run successive.
Decrittazione automatica di:
- Hash LM/NT
- Chiavi DPAPI backup
- Credenziali supplementari
- Password LAPS legacy e Windows LAPS v2 (offline MS-GKDI)
- Segreti di trust inter-forest/domain
Filtri di estrazione per qualunque objectClass (-f user,group…) e switch -keepDel per includere gli oggetti cancellati: utilissimo in DFIR.
Multithreading (-w) e gestione “Long Value” per record di grandi dimensioni: fino a 10× più veloce rispetto alla prima release.
Download: github.com/synacktiv/ntdissector
Deep-dive tecnico e casi d’uso: synacktiv.com/publications/introducing-ntdissector-a-swiss-army-knife-for-your-ntdsdit-files
