哈希传递攻击仍旧是一种威胁

发布时间：2022-01-17 10:57:48 所属栏目：安全来源：互联网

导读：哈希传递(Pass-the-hash)是一种非常古老的技术，最初由 Paul Ashton 在1997年发布的。尽管如此，哈希传递的存在已经超过了10年。它在大多数勒索软件攻击中被大量使用，比如在马斯特里赫特大学(University of Maastricht)。但为什么这仍然是个问题呢? 首先，

哈希传递(Pass-the-hash)是一种非常古老的技术，最初由 Paul Ashton 在1997年发布的。尽管如此，“哈希传递”的存在已经超过了10年。它在大多数勒索软件攻击中被大量使用，比如在马斯特里赫特大学(University of Maastricht)。但为什么这仍然是个问题呢?

首先，让我们对这种攻击有一个高层次的概述。 Pass-the-hash 是一种技术，攻击者在获得本地管理员权限之后，通过这种技术从被入侵的工作站或服务器上的内存中捕获 NT (LM) 哈希。使用这些被盗用的凭据，他们可以代表受到威胁的用户打开一个新的身份验证会话，以后还可以这样做。使用 PsExec、 WinRM、 RDP 等按照该用户的侧向移动。

对于 Pass-the-Hash 攻击并没有真正的修复，因为它利用了 SSO (Single-Sign On)协议。任何使用 SSO 的系统都容易受到类似的攻击，比如 PtH。因为大多数组织都使用活动目录作为其身份服务，而 AD 将 SSO 作为其主要特性。这意味着许多组织必须处理这个问题，否则，它们就不能很好地抵御“传递哈希”攻击。SSO 是一个身份验证过程，允许用户使用一组凭据登录，以访问网络上的资源，而无需再次输入密码。

假设你以用户 Bob (DBA)的身份登录，并希望访问 SQL 服务器上的 SQL 数据库。而不是再次输入你的密码。你只需要点击“连接”。

按下连接按钮后。你已经进入并且可以访问所有被监听的 SQL 数据库。你不必再次键入密码的原因是，因为 Windows 将你的凭据缓存在内存中，以提供 SSO 体验。

这也是为什么你不能完全防止哈希传递攻击，因为这意味着你必须干掉单点登录。然而，因为很难防止这种攻击，这并不意味着你对此无能为力。事实上，微软已经在这方面提供了很多指导，可以减轻这种攻击。在攻击者可以执行传递哈希攻击之前。首先需要获得凭证，并且所有凭据都存储在 LSASS 进程内存中，因此每次用户登录时，他或她的凭证被缓存在内存中，以提供我们前面讨论过的 SSO 体验。当用户登录到一台机器时，无论是通过 RDP 本地登录，还是通过 Runas 在另一个帐户下执行操作，凭证都会被缓存。

下面是一个示例，其中我们从 WINDOWS2012 机器上的内存中提取凭据。现在让我们假设我们已经设法欺骗 Alice 登录到我们已经入侵的机器上，那么会发生什么呢?

因为Alice已经登录了我们的跳板机器。她的凭据已经丢失，这意味着我们现在可以从内存中提取凭据并开始模拟 Alice 以代表她访问资源。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

浅析信息安全风险评估	几个机器身份管理的优
Kubernetes的零信任基	常用恶意软件剖析方法