ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1187

术语表: /attack/glossary

强制认证

服务器消息块 (SMB) 协议通常用于 Windows 网络中的身份验证和系统间的通信,以访问资源和文件共享。当 Windows 系统尝试连接到 SMB 资源时,它将自动尝试对当前用户进行身份验证并将凭据信息发送到远程系统。此行为在企业环境中很典型,因此用户无需输入凭据即可访问网络资源。当 SMB 阻塞或失败时,Windows 系统通常使用基于 Web 的分布式编写和版本控制 (WebDAV) 作为备用协议。WebDAV 是 HTTP 的扩展,通常通过 TCP 端口 80 和 443 运行。

攻击者可以利用此行为通过强制 SMB 身份验证访问用户帐户散列。攻击者可以通过鱼叉式网络钓鱼向用户发送附件,其中包含指向攻击者控制的外部服务器的资源链接(即模板注入),或将特制文件放在特权帐户的访问路径(例如放在桌面上的 .SCF 文件)或受害者可访问的公共共享文件中。当用户的系统访问不受信任的资源时,它将尝试身份验证,并通过 SMB 向攻击者控制的服务器发送包括用户散列凭据的信息。通过访问凭据散列,攻击可以执行离线爆破来获得对明文凭据的访问权,或者重用它来进行哈希传递 (Passthe Hash)。

有几种不同的方式可以实现这一点。一些具体的民间使用包括: - 鱼叉式网络钓鱼附件,包含在打开时自动加载的资源的文档。(如,模板注入)。例如,文档可以包含类似于 file[:]//[remote address]/Normal.dotm 的请求来触发 SMB 请求。 - 修改后的。LNK 或。SCF 文件,其图标文件名指向外部引用,如 \[remote address]\pic.png 这将强制系统在呈现图标时加载资源以重复收集凭据。

缓解

通过出口过滤或阻塞 TCP 端口 139、445 和 UDP 端口 137 来拦截企业网络的 SMB 流量。 过滤或拦截离开当前网络 WebDAV 协议流量。 如果需要通过 SMB 和 WebDAV 访问外部资源,那么应通过白名单严格限制流量。

对于内部流量,监视工作站间的异常 (vs. 基线)SMB 流量。 许多网络不应该有这种流量,但这取决于配置网络上的系统的方式以及资源的位置。 使用强密码可以增加获取凭证散列后破解的难度。

检测

监视 TCP 端口 139,445 和 UDP 端口 137 上的 SMB 流量以及尝试离开当前网络到未知外部系统的 WebDAV 流量。 如果检测到这种尝试,则调查终端数据源以查找其根源。 监视在系统上和虚拟环境中有关。lnk、.scf 或任何其他文件的创建和修改,这些文件包含指向外部网络资源的资源,而这些资源可用于在显示文件时收集凭据。