日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
一種檢測(cè)哈希傳遞攻擊的可靠方法

 哈希傳遞對(duì)于大多數(shù)企業(yè)或組織來(lái)說(shuō)仍然是一個(gè)非常棘手的問(wèn)題,這種攻擊手法經(jīng)常被滲透測(cè)試人員和攻擊者們使用。當(dāng)談及檢測(cè)哈希傳遞攻擊時(shí),我首先開(kāi)始研究的是先看看是否已經(jīng)有其他人公布了一些通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行檢測(cè)的可靠方法。我拜讀了一些優(yōu)秀的文章,但我沒(méi)有發(fā)現(xiàn)可靠的方法,或者是這些方法產(chǎn)生了大量的誤報(bào)。

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括豐澤網(wǎng)站建設(shè)、豐澤網(wǎng)站制作、豐澤網(wǎng)頁(yè)制作以及豐澤網(wǎng)絡(luò)營(yíng)銷(xiāo)策劃等。多年來(lái),我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,豐澤網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到豐澤省份的部分城市,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

我不會(huì)在本文深入剖析哈希傳遞的歷史和工作原理,但如果你有興趣,你可以閱讀SANS發(fā)布的這篇優(yōu)秀的文章——哈希攻擊緩解措施。

總之,攻擊者需要從系統(tǒng)中抓取哈希值,通常是通過(guò)有針對(duì)性的攻擊(如魚(yú)叉式釣魚(yú)或通過(guò)其他方法直接入侵主機(jī))來(lái)完成的(例如:TrustedSec 發(fā)布的 Responder 工具)。一旦獲得了對(duì)遠(yuǎn)程系統(tǒng)的訪問(wèn),攻擊者將升級(jí)到系統(tǒng)級(jí)權(quán)限,并從那里嘗試通過(guò)多種方法(注冊(cè)表,進(jìn)程注入,磁盤(pán)卷影復(fù)制等)提取哈希。對(duì)于哈希傳遞,攻擊者通常是針對(duì)系統(tǒng)上的LM/NTLM哈希(更常見(jiàn)的是NTLM)來(lái)操作的。我們不能使用類(lèi)似NetNTLMv2(通過(guò)響應(yīng)者或其他方法)或緩存的證書(shū)來(lái)傳遞哈希。我們需要純粹的和未經(jīng)過(guò)濾的NTLM哈希?;旧现挥袃蓚€(gè)地方才可以獲得這些憑據(jù);第一個(gè)是通過(guò)本地帳戶(例如管理員RID 500帳戶或其他本地帳戶),第二個(gè)是域控制器。

哈希傳遞的主要成因是由于大多數(shù)企業(yè)或組織在一個(gè)系統(tǒng)上擁有共享本地帳戶,因此我們可以從該系統(tǒng)中提取哈希并移動(dòng)到網(wǎng)絡(luò)上的其他系統(tǒng)。當(dāng)然,現(xiàn)在已經(jīng)有了針對(duì)這種攻擊方式的緩解措施,但他們不是100%的可靠。例如,微軟修補(bǔ)程序和較新版本的Windows(8.1和更高版本)“修復(fù)”了哈希傳遞,但這僅適用于“其他”帳戶,而不適用于RID為 500(管理員)的帳戶。

你可以禁止通過(guò)GPO傳遞哈希:

“拒絕從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”

設(shè)置路徑位于:

 
 
 
 
    
  
  
  
  
  1. Computer ConfigurationWindowsSettingsSecurity SettingsLocal PoliciesUser Rights Assignment 
    2.

大多數(shù)企業(yè)或組織都沒(méi)有能力實(shí)施GPO策略,而傳遞哈??杀焕玫目赡苄詤s非常大。

接下來(lái)的問(wèn)題是,你怎么檢測(cè)哈希傳遞攻擊?

檢測(cè)哈希傳遞攻擊是比較有挑戰(zhàn)性的事情,因?yàn)樗诰W(wǎng)絡(luò)中表現(xiàn)出的行為是正常。比如:當(dāng)你關(guān)閉了RDP會(huì)話并且會(huì)話還沒(méi)有關(guān)閉時(shí)會(huì)發(fā)生什么?當(dāng)你去重新認(rèn)證時(shí),你之前的機(jī)器記錄仍然還在。這種行為表現(xiàn)出了與在網(wǎng)絡(luò)中傳遞哈希非常類(lèi)似的行為。

通過(guò)對(duì)成千上萬(wàn)個(gè)系統(tǒng)上的日志進(jìn)行廣泛的測(cè)試和分析,我們已經(jīng)能夠識(shí)別出在大多數(shù)企業(yè)或組織中的非常具體的攻擊行為并且具有非常低的誤報(bào)率。有許多規(guī)則可以添加到以下檢測(cè)功能中,例如,在整個(gè)網(wǎng)絡(luò)中查看一些成功的結(jié)果會(huì)顯示“哈希傳遞”,或者在多次失敗的嘗試后將顯示憑證失敗。

下面我們要查看所有登錄類(lèi)型是3(網(wǎng)絡(luò)登錄)和ID為4624的事件日志。我們正在尋找密鑰長(zhǎng)度設(shè)置為0的NtLmSsP帳戶(這可以由多個(gè)事件觸發(fā))。這些是哈希傳遞(WMI,SMB等)通常會(huì)使用到的較低級(jí)別的協(xié)議。另外,由于抓取到哈希的兩個(gè)唯一的位置我們都能夠訪問(wèn)到(通過(guò)本地哈?;蛲ㄟ^(guò)域控制器),所以我們可以只對(duì)本地帳戶進(jìn)行過(guò)濾,來(lái)檢測(cè)網(wǎng)絡(luò)中通過(guò)本地帳戶發(fā)起的傳遞哈希攻擊行為。這意味著如果你的域名是GOAT,你可以用GOAT來(lái)過(guò)濾任何東西,然后提醒相應(yīng)的人員。不過(guò),篩選的結(jié)果應(yīng)該去掉一些類(lèi)似安全掃描器,管理員使用的PSEXEC等的記錄。

請(qǐng)注意,你可以(也可能應(yīng)該)將域的日志也進(jìn)行分析,但你很可能需要根據(jù)你的實(shí)際情況調(diào)整到符合基礎(chǔ)結(jié)構(gòu)的正常行為。比如,OWA的密鑰長(zhǎng)度為0,并且具有與基于其代理驗(yàn)證的哈希傳遞完全相同的特征。這是OWA的正常行為,顯然不是哈希傳遞攻擊行為。如果你只是在本地帳戶進(jìn)行過(guò)濾,那么這類(lèi)記錄不會(huì)被標(biāo)記。

事件ID:4624 

登錄類(lèi)型:3 

登錄過(guò)程:NtLmSsP 

安全I(xiàn)D:空SID – 可選但不是必需的,目前還沒(méi)有看到為Null的 SID未在哈希傳遞中使用。

主機(jī)名 :(注意,這不是100%有效;例如,Metasploit和其他類(lèi)似的工具將隨機(jī)生成主機(jī)名)。你可以導(dǎo)入所有的計(jì)算機(jī)列表,如果沒(méi)有標(biāo)記的計(jì)算機(jī),那么這有助于減少誤報(bào)。但請(qǐng)注意,這不是減少誤報(bào)的可靠方法。并不是所有的工具都會(huì)這樣做,并且使用主機(jī)名進(jìn)行檢測(cè)的能力是有限的。

帳戶名稱和域名:僅警告只有本地帳戶(即不包括域用戶名的賬戶)的帳戶名稱。這樣可以減少網(wǎng)絡(luò)中的誤報(bào),但是如果對(duì)所有這些賬戶進(jìn)行警告,那么將檢測(cè)例如:掃描儀,psexec等等這類(lèi)東西,但是需要時(shí)間來(lái)調(diào)整這些東西。在所有帳戶上標(biāo)記并不一定是件壞事(跳過(guò)“COMPUTER$”帳戶),調(diào)整已知模式的環(huán)境并調(diào)查未知的模式。

密鑰長(zhǎng)度:0 – 這是會(huì)話密鑰長(zhǎng)度。這是事件日志中最重要的檢測(cè)特征之一。像RDP這樣的東西,密鑰長(zhǎng)度的值是 128位。任何較低級(jí)別的會(huì)話都將是0,這是較低級(jí)別協(xié)議在沒(méi)有會(huì)話密鑰時(shí)的一個(gè)明顯的特征,所在此特征可以在網(wǎng)絡(luò)中更好的發(fā)現(xiàn)哈希傳遞攻擊。

另外一個(gè)好處是這個(gè)事件日志包含了認(rèn)證的源IP地址,所以你可以快速的識(shí)別網(wǎng)絡(luò)中哈希傳遞的攻擊來(lái)源。

為了檢測(cè)到這一點(diǎn),我們首先需要確保我們有適當(dāng)?shù)慕M策略設(shè)置。我們需要將帳戶登錄設(shè)置為“成功”,因?yàn)槲覀冃枰檬录罩?624作為檢測(cè)的方法。

讓我們分解日志并且模擬哈希傳遞攻擊過(guò)程。在這種情況下,我們首先想象一下,攻擊者通過(guò)網(wǎng)絡(luò)釣魚(yú)獲取了受害者電腦的憑據(jù),并將其提升為管理級(jí)別的權(quán)限。從系統(tǒng)中獲取哈希值是非常簡(jiǎn)單的事情。假設(shè)內(nèi)置的管理員帳戶是在多個(gè)系統(tǒng)間共享的,攻擊者希望通過(guò)哈希傳遞,從SystemA(已經(jīng)被入侵)移動(dòng)到SystemB(還沒(méi)有被入侵但具有共享的管理員帳戶)。

在這個(gè)例子中,我們將使用Metasploit psexec,盡管還有很多其他的方法和工具可以實(shí)現(xiàn)這個(gè)目標(biāo):

在這個(gè)例子中,攻擊者通過(guò)傳遞哈希建立了到第二個(gè)系統(tǒng)的連接。接下來(lái),讓我們看看事件日志4624,包含了什么內(nèi)容:

安全I(xiàn)D:NULL SID可以作為一個(gè)特征,但不要依賴于此,因?yàn)椴⒎撬械墓ぞ叨紩?huì)用到SID。雖然我還沒(méi)有親眼見(jiàn)過(guò)哈希傳遞不會(huì)用到NULL SID,但這也是有可能的。

接下來(lái),工作站名稱肯定看起來(lái)很可疑; 但這并不是一個(gè)好的檢測(cè)特征,因?yàn)椴⒉皇撬械墓ぞ叨紩?huì)將機(jī)器名隨機(jī)化。你可以將此用作分析哈希傳遞攻擊的額外指標(biāo),但我們不建議使用工作站名稱作為檢測(cè)指標(biāo)。源網(wǎng)絡(luò)IP地址可以用來(lái)跟蹤是哪個(gè)IP執(zhí)行了哈希傳遞攻擊,可以用于進(jìn)一步的攻擊溯源調(diào)查。

接下來(lái),我們看到登錄過(guò)程是NtLmSsp,密鑰長(zhǎng)度為0.這些對(duì)于檢測(cè)哈希傳遞非常的重要。

接下來(lái)我們看到登錄類(lèi)型是3(通過(guò)網(wǎng)絡(luò)遠(yuǎn)程登錄)。

最后,我們看到這是一個(gè)基于帳戶域和名稱的本地帳戶。

總而言之,有許多方法可以檢測(cè)環(huán)境中的哈希傳遞攻擊行為。這個(gè)在小型和大型網(wǎng)絡(luò)中都是有效的,并且基于不同的哈希傳遞的攻擊方式都是非常可靠的。它可能需要根據(jù)你的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整,但在減少誤報(bào)和攻擊過(guò)程中溯源卻是非常簡(jiǎn)單的。

哈希傳遞仍然廣泛的用于網(wǎng)絡(luò)攻擊并且是大多數(shù)企業(yè)和組織的一個(gè)共同的安全問(wèn)題。有許多方法可以禁止和降低哈希傳遞的危害,但是并不是所有的企業(yè)和組織都可以有效地實(shí)現(xiàn)這一點(diǎn)。所以,最好的選擇就是如何去檢測(cè)這種攻擊行為。


本文名稱:一種檢測(cè)哈希傳遞攻擊的可靠方法
網(wǎng)站URL:http://www.5511xx.com/article/cdohhii.html