哈希传递攻击仍然是一种威胁
引言
哈希传递(Pass-the-hash)是一种非常古老的技术,最初由 Paul Ashton在1997年发布的。尽管如此,“哈希传递”的存在已经超过了10年。它在大多数勒索软件攻击中被大量使用,比如在马斯特里赫特大学(University ofMaastricht)。但为什么这仍然是个问题呢?
首先,让我们对这种攻击有一个高层次的概述。 Pass-the-hash是一种技术,攻击者在获得本地管理员权限之后,通过这种技术从被入侵的工作站或服务器上的内存中捕获 NT (LM)哈希。使用这些被盗用的凭据,他们可以代表受到威胁的用户打开一个新的身份验证会话,以后还可以这样做。 使用 PsExec、 WinRM、RDP等按照该用户的侧向移动。
对于 Pass-the-Hash 攻击并没有真正的修复,因为它利用了 SSO (Single-Sign On)协议。 任何使用SSO的系统都容易受到类似的攻击,比如 PtH。 因为大多数组织都使用活动目录作为其身份服务,而 AD 将SSO作为其主要特性。这意味着许多组织必须处理这个问题,否则,它们就不能很好地抵御“传递哈希”攻击。
SSO 是一个身份验证过程,允许用户使用一组凭据登录,以访问网络上的资源,而无需再次输入密码。
假设你以用户 Bob (DBA)的身份登录,并希望访问 SQL 服务器上的 SQL 数据库。 而不是再次输入你的密码。 你只需要点击“连接”。
按下连接按钮后。 你已经进入并且可以访问所有被监听的 SQL 数据库。
你不必再次键入密码的原因是,因为windows 将你的凭据缓存在内存中,以提供 SSO 体验。
这也是为什么你不能完全防止哈希传递攻击,因为这意味着你必须干掉单点登录。然而,因为很难防止这种攻击,这并不意味着你对此无能为力。事实上,微软已经在这方面提供了很多指导,可以减轻这种攻击。
凭证存取 -T1003
在攻击者可以执行传递哈希攻击之前。首先需要获得凭证,并且所有凭据都存储在LSASS进程内存中,因此每次用户登录时,他或她的凭证被缓存在内存中,以提供我们前面讨论过的 SSO 体验。 当用户登录到一台机器时,无论是通过RDP本地登录,还是通过 Runas 在另一个帐户下执行操作,凭证都会被缓存。
下面是一个示例,其中我们从windows2012 机器上的内存中提取凭据。
现在让我们假设我们已经设法欺骗 Alice 登录到我们已经入侵的机器上,那么会发生什么呢?
因为Alice已经登录了我们的跳板机器。 她的凭据已经丢失,这意味着我们现在可以从内存中提取凭据并开始模拟 Alice 以代表她访问资源。
哈希传递 – T1705
我们现在已经从 Alice 那里获得了凭据,因此我们现在可以开始执行 哈希传递攻击以模拟她并代表她访问所有资源。
现在,由于 Alice 可以访问 FILESERVER,我们可以作为用户 Alice 横向移动到这个服务器。
由于我们对 FILESERVER 拥有完全的管理特权,现在我们也可以将凭据转储到这台服务器上。
现在我们已经设法从 Bob 那里获得了凭据,因为他最近登录了这个服务器。 Bob 是域管理员,所以如果我们模仿Bob。 我们可以接触到任何东西。
与前面一样,我们现在要执行哈希传递攻击来模拟 Bob 并代表他访问资源。
数据外泄
例如,我们现在可以横向移动到域控制器服务器,它也被称为最关键的服务器,因为它拥有每个用户和计算机的所有凭证。
访问域控制器是一回事,但是攻击者的最终目标是泄露数据。攻击者并不关心他们是否成为DA或访问DC。当数据泄露时,它会影响你的生意。
这是一个例子,我们可以访问 SQL 服务器,因为我们已经是 Domain Admin(域管理员),但是正如前面所说的。 DA无关紧要,重要的是数据。下面是存储在硬盘驱动器上的所有 SQL 数据库的示例。也许这些数据对我们有很大的价值,如果这些数据泄露出去,可能会对我们的业务造成影响。
检测
检测凭证访问和哈希传递技术一直是相当困难的。 如果真像我们想的那么简单。 那么大多数组织就已经有了适当的检测规则。
一个伟大的事情是,微软发布了 Defender ATP,这是一个 EDR 解决方案,利用了云的力量。 如果你必须选择一个 EDR解决方案。我建议选择Defender ATP。这是一个很好的解决方案,可以提高所有端点的可见性,并且使你的生活更加容易,因为你可以通过门户获得无时间的警报。
下面是我们从 LSASS 进程内存中提取凭据之后收到的一个示例。
上面的警报与另一个事件有关,即哈希传递。
建议
第一件事是确保你做了基本的工作,也就是确保所有的 IT管理员对他们的管理任务有一个单独的帐户,并且如果你想要完美地完成这些任务的话。甚至建议使用单独的加固工作站来执行所有管理任务。
缓解哈希传递攻击的最佳方法是查看微软管理层模型——这是一种安全模型,通过确保较高层不能登录较低层来减轻凭证盗窃,反之亦然。
- 第0层=可以访问网络上所有关键服务器的域管理员或同等级别的管理员
- 第1层=服务器管理员/系统管理员,他们可以访问重要的服务器,但不是“关键”的
- 第2层=工作站管理员/帮助台,可以访问客户的工作站,但不能访问第1层和第0层管理员的独立的加固工作站
现在你可能想知道,当你实现这个层模型时,它看起来是什么样的。 也许你还想知道你的组织是否有安全措施来减轻哈希传递。
部署管理层模型可能需要一段时间,但这是值得的。 这是一个关于在 AD 中如何设计一个层模型的例子。
我们创建了一些OU,在这些OU中。它包含不同的对象。作为一个例子。在第0层OU,我们有不同的子OU。你可以看到设备和第0层服务器。在设备OU中,它包含你的域管理员或同等人员的独立加固工作站。在第0层服务器中,它包含最关键的服务器对象,比如域控制器、AzureADConnect、ADFS、PKI、SCCM等等。
现在有另一个 OU 叫做 Tier 1,它包含了不同的子 OU,以及设备和 Tier 1 服务器。 在设备OU中,它包含服务器管理员的独立硬化工作站和第一层服务器 OU。 它包含所有重要的服务器,但不是关键的。
在你指定之后。 一个 GPO 需要被创建和链接到设备 & 第1层(Tier 1)服务器 OU,这个 GPO拒绝域管理员和等价物的登录权(第0层管理员)。
在这里你可以看到,我已经创建了一个 GPO 与拒绝登录权限的设备和第一层服务器。 所有0级管理员不能登录到第1层管理员设备或第1层服务器。
- 拒绝从网络访问此计算机
- 拒绝作为批处理作业登录
- 拒绝作为服务登录
- 拒绝本地登录
- 拒绝通过远程桌面服务登录
让我们验证我们不能登录到第1层资产。 例如,我们正在尝试登录第1层中的 FILESERVER。 访问被拒绝,因为我们的 GPO 拒绝了登录访问。
现在,当我们试图使用 PsExec 登录到文件服务器时,我们也会被拒绝。
最后,但并非最不重要。 还有第二层,它包含了客户端的所有工作站。 此层由帮助台/工作站管理员管理。
现在创建另一个 GPO ,但这一次这个 GPO 需要拒绝登录权限。我们必须指定,第0层和第1层管理员都不允许登录客户的工作站和第2层管理员的单独工作站。
- 拒绝从网络访问此计算机
- 拒绝作为批处理作业登录
- 拒绝作为服务登录
- 拒绝本地登录
- 拒绝通过远程桌面服务登录
现在,当我们试图将RDP作为第0/1层管理员发送到客户机的工作站时,我们的访问将被拒绝,因为客户的工作站位于第2层区域。
我经常看到的几个例子,可能会导致层模型绕过,是链接到0层资产的GPO,来自第1层的用户可以修改它的设置。 确保所有链接到域对象的GPO和所有0级资产都由0级管理员管理。
另外,如果你在域管理员中有服务帐户,并且这些服务帐户作为具有 DA特权的服务器上的服务运行,那么最好知道这一点。这意味着你需要将该服务器视为一个第0层资产。
总结
管理层模型(AdministrativeTierModel)是一个很好的安全架构,可以防止凭证被盗用,因为较高的层不能登录较低的层,反之亦然,这意味着例如域管理员的凭证永远不能在打印服务器或客户机的工作站上公开。没有什么是完美的,但部署层模型和在所有工作站和服务器上安装Defender ATP 将使攻击者更加困难。
如果你没有任何类似的安全措施,如上所示。 我们可能得出结论,你根本没有实现哈希传递攻击的缓解措施,这没有关系,但是现在是时候实现它了。
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 戴尔电脑win10网络受限怎么办?
- 分辨率调不了怎么办 屏幕分辨率调不了的解决办法
- 一切换输入法就卡死 切换搜狗输入法卡怎么回事?
- 校准显示器
- 黑客60万美元出售疑似Windows 10源代码
- Win10网络重置后无法连接网络怎么办?
- USB Fuzzing基础知识:从漏洞挖掘到漏洞报告
- 电脑开机故障不通电怎么解决?
- Win7系统下无线网络无法连接的解决办法
- 突发!多地受害者称开机即遭勒索,同一黑客加密所有办公文件
- 添加网络打印机的步骤Win7与winXP有什么不同?
- 在COVID-19之后,网络安全将如何改变经济?
- Win8.1安装失败错误0x80004005的解决办法
- Web安全:端口扫描工具
- 恶意扩展程序滥用 Chrome Sync 窃取用户数据
- 修改网卡传输速度 恢复网络畅通
- win7系统中的控制面板里找不到"网络连接"选项该怎么办?
- win8打开共享提示需要输入网络凭据0x000000709怎么办?
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1雨林木风 Windows10 x64 企业装机版2020年10月(64位) ISO镜像高速下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版 版本1903 2021年11月(32位) ISO镜像免费下载
- 3深度技术 Windows 10 x64 企业版 电脑城装机版2020年10月(64位) 高速下载
- 4新萝卜家园电脑城专用系统 Windows10 x86 企业版2021年11月(32位) ISO镜像高速下载
- 5深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年2月(64位) 高速下载
- 6笔记本&台式机专用系统 Windows10 企业版 2020年3月(64位) 提供下载
- 7雨林木风Ghost Win8.1 (X64) 极速纯净版2020年4月免激活) ISO镜像高速下载
- 8电脑公司 装机专用系统Windows10 x86企业版 版本1903 2021年12月(32位) ISO镜像快速下载
- 9笔记本&台式机专用系统GhostWin7 64位旗舰版2019年11月(64位) 高速下载
- 10电脑公司 GhostXpSp3 电脑城装机版 2020年5月 ISO镜像高速下载