ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1075

术语表: /attack/glossary

哈希传递

哈希传递 (PtH) 是一种不需要访问用户明文密码就可以验证用户身份的方法。此方法绕过需要明文密码的标准身份验证步骤,直接进入使用密码散列的身份验证部分。在此技术中,使用凭据访问 (Credential Access) 技术获取所使用帐户的有效密码散列。获取的散列与 PtH 一起用于该用户的身份验证。通过身份验证后,可以使用 PtH 在本地或远程系统上执行操作。

KB2871997 的 Windows 7 或更高版本要求有效的域用户凭据或 RID 500 的管理员散列。

缓解

监视系统和域日志,了解异常的凭据登录活动。 阻止访问有效帐户。 将 KB2871997 补丁应用于 Windows 7 和更高的系统,以限制本地管理员组中的帐户的默认访问。 启用哈希传递缓解措施来对网络登录上的本地帐户应用 UAC 限制。 通过 GPO 找到关联的注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy 计算机配置>[策略]>管理 Templates>SCM: 哈希传递缓解: 对网络登录的本地帐户应用 UAC 限制。

限制系统之间的凭据重叠,以防止凭据攻击带来损失,并降低攻击者在系统之间执行横向移动的能力。 确保内置和创建的本地管理员帐户具有复杂且唯一的密码。 不允许域用户位于多个系统上的本地管理员组中。

检测

审核所有登录和凭据使用事件并检查是否存在差异。 与其他可疑活动(如编写和执行二进制文件)相关的异常远程登录可能表明恶意活动的存在。 与域登录无关且不是匿名登录的 NTLM LogonType 3 身份验证是可疑的。