色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

淺談哈希傳遞的危害和防范措施

如意 ? 來源:嘶吼網 ? 作者:李白 ? 2020-07-02 15:25 ? 次閱讀

哈希傳遞(Pass-the-hash)是一種非常古老的技術,最初由 Paul Ashton 在1997年發布的。盡管如此,“哈希傳遞”的存在已經超過了10年。 它在大多數勒索軟件攻擊中被大量使用,比如在馬斯特里赫特大學(University of Maastricht)。但為什么這仍然是個問題呢?

首先,讓我們對這種攻擊有一個高層次的概述。 Pass-the-hash 是一種技術,攻擊者在獲得本地管理員權限之后,通過這種技術從被入侵的工作站或服務器上的內存中捕獲 NT (LM) 哈希。 使用這些被盜用的憑據,他們可以代表受到威脅的用戶打開一個新的身份驗證會話,以后還可以這樣做。 使用 PsExec、 WinRM、 RDP 等按照該用戶的側向移動。

對于 Pass-the-Hash 攻擊并沒有真正的修復,因為它利用了 SSO (Single-Sign On)協議。 任何使用 SSO 的系統都容易受到類似的攻擊,比如 PtH。 因為大多數組織都使用活動目錄作為其身份服務,而 AD 將 SSO 作為其主要特性。這意味著許多組織必須處理這個問題,否則,它們就不能很好地抵御“傳遞哈希”攻擊。

SSO 是一個身份驗證過程,允許用戶使用一組憑據登錄,以訪問網絡上的資源,而無需再次輸入密碼。

假設你以用戶 Bob (DBA)的身份登錄,并希望訪問 SQL 服務器上的 SQL 數據庫。 而不是再次輸入你的密碼。 你只需要點擊“連接”。

按下連接按鈕后。 你已經進入并且可以訪問所有被監聽的 SQL 數據庫。

你不必再次鍵入密碼的原因是,因為 Windows 將你的憑據緩存在內存中,以提供 SSO 體驗。

這也是為什么你不能完全防止哈希傳遞攻擊,因為這意味著你必須干掉單點登錄。 然而,因為很難防止這種攻擊,這并不意味著你對此無能為力。 事實上,微軟已經在這方面提供了很多指導,可以減輕這種攻擊。

憑證存取 -T1003

在攻擊者可以執行傳遞哈希攻擊之前。首先需要獲得憑證,并且所有憑據都存儲在 LSASS 進程內存中,因此每次用戶登錄時,他或她的憑證被緩存在內存中,以提供我們前面討論過的 SSO 體驗。 當用戶登錄到一臺機器時,無論是通過 RDP 本地登錄,還是通過 Runas 在另一個帳戶下執行操作,憑證都會被緩存。

下面是一個示例,其中我們從 WINDOWS2012 機器上的內存中提取憑據。

現在讓我們假設我們已經設法欺騙 Alice 登錄到我們已經入侵的機器上,那么會發生什么呢?

因為Alice已經登錄了我們的跳板機器。 她的憑據已經丟失,這意味著我們現在可以從內存中提取憑據并開始模擬 Alice 以代表她訪問資源。

哈希傳遞 – T1705

我們現在已經從 Alice 那里獲得了憑據,因此我們現在可以開始執行 哈希傳遞攻擊以模擬她并代表她訪問所有資源。

現在,由于 Alice 可以訪問 FILESERVER,我們可以作為用戶 Alice 橫向移動到這個服務器。

由于我們對 FILESERVER 擁有完全的管理特權,現在我們也可以將憑據轉儲到這臺服務器上。

現在我們已經設法從 Bob 那里獲得了憑據,因為他最近登錄了這個服務器。 Bob 是域管理員,所以如果我們模仿Bob。 我們可以接觸到任何東西。

與前面一樣,我們現在要執行哈希傳遞攻擊來模擬 Bob 并代表他訪問資源。

數據外泄

例如,我們現在可以橫向移動到域控制器服務器,它也被稱為最關鍵的服務器,因為它擁有每個用戶和計算機的所有憑證。

訪問域控制器是一回事,但是攻擊者的最終目標是泄露數據。攻擊者并不關心他們是否成為DA或訪問DC。當數據泄露時,它會影響你的生意。

這是一個例子,我們可以訪問 SQL 服務器,因為我們已經是 Domain Admin(域管理員),但是正如前面所說的。 DA 無關緊要,重要的是數據。 下面是存儲在硬盤驅動器上的所有 SQL 數據庫的示例。 也許這些數據對我們有很大的價值,如果這些數據泄露出去,可能會對我們的業務造成影響。

檢測

檢測憑證訪問和哈希傳遞技術一直是相當困難的。 如果真像我們想的那么簡單。 那么大多數組織就已經有了適當的檢測規則。

一個偉大的事情是,微軟發布了 Defender ATP,這是一個 EDR 解決方案,利用了云的力量。 如果你必須選擇一個 EDR 解決方案。 我建議選擇Defender ATP。 這是一個很好的解決方案,可以提高所有端點的可見性,并且使你的生活更加容易,因為你可以通過門戶獲得無時間的警報。

下面是我們從 LSASS 進程內存中提取憑據之后收到的一個示例。

上面的警報與另一個事件有關,即哈希傳遞。

建議

第一件事是確保你做了基本的工作,也就是確保所有的 IT 管理員對他們的管理任務有一個單獨的帳戶,并且如果你想要完美地完成這些任務的話。 甚至建議使用單獨的加固工作站來執行所有管理任務。

緩解哈希傳遞攻擊的最佳方法是查看微軟管理層模型——這是一種安全模型,通過確保較高層不能登錄較低層來減輕憑證盜竊,反之亦然。

第0層=可以訪問網絡上所有關鍵服務器的域管理員或同等級別的管理員

第1層=服務器管理員/系統管理員,他們可以訪問重要的服務器,但不是“關鍵”的

第2層=工作站管理員/幫助臺,可以訪問客戶的工作站,但不能訪問第1層和第0層管理員的獨立的加固工作站

現在你可能想知道,當你實現這個層模型時,它看起來是什么樣的。 也許你還想知道你的組織是否有安全措施來減輕哈希傳遞。

部署管理層模型可能需要一段時間,但這是值得的。 這是一個關于在 AD 中如何設計一個層模型的例子。

我們創建了一些OU,在這些OU中。它包含不同的對象。作為一個例子。在第0層OU,我們有不同的子OU。你可以看到設備和第0層服務器。在設備OU中,它包含你的域管理員或同等人員的獨立加固工作站。在第0層服務器中,它包含最關鍵的服務器對象,比如域控制器、Azure AD Connect、ADFS、PKI、SCCM等等。

現在有另一個 OU 叫做 Tier 1,它包含了不同的子 OU,以及設備和 Tier 1 服務器。 在設備 OU 中,它包含服務器管理員的獨立硬化工作站和第一層服務器 OU。 它包含所有重要的服務器,但不是關鍵的。

在你指定之后。 一個 GPO 需要被創建和鏈接到設備 & 第1層(Tier 1)服務器 OU,這個 GPO 拒絕域管理員和等價物的登錄權(第0層管理員)。

在這里你可以看到,我已經創建了一個 GPO 與拒絕登錄權限的設備和第一層服務器。 所有0級管理員不能登錄到第1層管理員設備或第1層服務器。

拒絕從網絡訪問此計算機

拒絕作為批處理作業登錄

拒絕作為服務登錄

拒絕本地登錄

拒絕通過遠程桌面服務登錄

讓我們驗證我們不能登錄到第1層資產。 例如,我們正在嘗試登錄第1層中的 FILESERVER。 訪問被拒絕,因為我們的 GPO 拒絕了登錄訪問。

現在,當我們試圖使用 PsExec 登錄到文件服務器時,我們也會被拒絕。

最后,但并非最不重要。 還有第二層,它包含了客戶端的所有工作站。 此層由幫助臺/工作站管理員管理。

現在創建另一個 GPO ,但這一次這個 GPO 需要拒絕登錄權限。 我們必須指定,第0層和第1層管理員都不允許登錄客戶的工作站和第2層管理員的單獨工作站。

拒絕從網絡訪問此計算機

拒絕作為批處理作業登錄

拒絕作為服務登錄

拒絕本地登錄

拒絕通過遠程桌面服務登錄

現在,當我們試圖將RDP作為第0/1層管理員發送到客戶機的工作站時,我們的訪問將被拒絕,因為客戶的工作站位于第2層區域。

我經??吹降膸讉€例子,可能會導致層模型繞過,是鏈接到0層資產的GPO,來自第1層的用戶可以修改它的設置。 確保所有鏈接到域對象的 GPO 和所有0級資產都由0級管理員管理。

另外,如果你在域管理員中有服務帳戶,并且這些服務帳戶作為具有 DA 特權的服務器上的服務運行,那么最好知道這一點。 這意味著你需要將該服務器視為一個第0層資產。

總結

管理層模型(Administrative Tier Model)是一個很好的安全架構,可以防止憑證被盜用,因為較高的層不能登錄較低的層,反之亦然,這意味著例如域管理員的憑證永遠不能在打印服務器或客戶機的工作站上公開。 沒有什么是完美的,但部署層模型和在所有工作站和服務器上安裝 Defender ATP 將使攻擊者更加困難。

如果你沒有任何類似的安全措施,如上所示。 我們可能得出結論,你根本沒有實現哈希傳遞攻擊的緩解措施,這沒有關系,但是現在是時候實現它了。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 微軟
    +關注

    關注

    4

    文章

    6591

    瀏覽量

    104044
  • DDoS攻擊
    +關注

    關注

    2

    文章

    73

    瀏覽量

    5783
  • 哈希算法
    +關注

    關注

    1

    文章

    56

    瀏覽量

    10745
收藏 人收藏

    評論

    相關推薦

    新能源汽車電氣火災分析與技術防范措施

    徐悅 安科瑞電氣股份有限公司?上海嘉定 201801 近幾年,隨著我國社會經濟的持續快速發展,以及道路交通的日新月異,汽車總量在不斷增加,同時由于電子工業的發展,汽車的電氣化程度也越來越高。目前,我國生產的部分汽車電氣設備的成本已占到整車成本的30%~35%,在一些豪華轎車上,電氣設備的成本已占到整車成本的50%以上。但是,有關資料顯示,在汽車運行過程中,電氣系統故障占整車故障的85%左右,而在所有汽車火災中,因電氣系統故障引起的火災占60%左右。
    的頭像 發表于 10-24 10:11 ?222次閱讀
    新能源汽車電氣火災分析與技術<b class='flag-5'>防范措施</b>

    淺談電動汽車分散充電設施火災風險及防范措施

    摘要:近年來,隨著環境保護意識的不斷增強,新能源汽車逐漸成為未來的發展趨勢。電動汽車作為新能源汽車中的代表力量,集環保、省錢、噪音小、能源消耗低等優勢于一體,發展空間巨大。隨著我國電動汽車產業及其配套充電設施技術的發展,電動汽車的人均保有量逐年遞增,但火災事故也隨之逐年上升。如何在滿足人們正常使用需求的情況下,有效針對這些早期建設的充電設施進行消防安全改造,亟須予以研究規范。本文通過對既有公共建筑地
    的頭像 發表于 10-18 11:00 ?288次閱讀
    <b class='flag-5'>淺談</b>電動汽車分散充電設施火災風險及<b class='flag-5'>防范措施</b>

    淺談汽車電氣火災分析與技術防范措施

    安科瑞 程瑜 ?187 0211 2087 摘要: 簡要介紹了汽車電氣系統的功能和特點, 對導致汽車電氣系統火災的原因進行了剖析, 并有針對性地提出了技術防范措施。 關鍵詞: 汽車; 電氣火災
    的頭像 發表于 10-09 09:58 ?224次閱讀
    <b class='flag-5'>淺談</b>汽車電氣火災分析與技術<b class='flag-5'>防范措施</b>

    IP 地址欺騙:原理、類型與防范措施

    IP地址欺騙是已現在十分常見的網絡攻擊方式,會給個人、企業和國家帶來巨大風險。下文講解IP地址欺騙的本質、工作原理和檢測防范方法。 ? IP地址欺騙是什么? IP地址欺騙是指攻擊者通過偽造IP地址
    的頭像 發表于 08-26 14:04 ?349次閱讀
    IP 地址欺騙:原理、類型與<b class='flag-5'>防范措施</b>

    導線舞動的危害防范措施

    輸電導線是電力系統中的重要組成部分,承擔著電能傳輸的重要任務,輸電導線舞動監測是確保電力系統安全運行的重要環節。通過及時監測和處理導線的異常情況,可以減少事故的發生。
    的頭像 發表于 06-17 14:10 ?530次閱讀

    淺談浪涌的含義、產生、危害及防護措施

    浪涌 是電氣系統中常見的一種瞬態電壓現象,其產生主要源于電氣設備的開關操作、雷電等外部因素。浪涌會給電氣設備帶來嚴重的損害,甚至導致系統故障和停電,因此必須采取有效的防護措施。不同行業對浪涌的防護
    的頭像 發表于 05-09 10:56 ?1477次閱讀
    <b class='flag-5'>淺談</b>浪涌的含義、產生、<b class='flag-5'>危害</b>及防護<b class='flag-5'>措施</b>

    淺談變電站運維管理中習慣性違章預防措施研究

    淺談變電站運維管理中習慣性違章預防措施研究 張穎姣 安科瑞電氣股份有限公司 上海嘉定 201801 摘要:習慣性違章普遍存在于變電站日常運維管理及檢修作業中,如何采取*措施預防習慣性違章,確保
    的頭像 發表于 04-15 16:27 ?454次閱讀
    <b class='flag-5'>淺談</b>變電站運維管理中習慣性違章預防<b class='flag-5'>措施</b>研究

    全員學習!各類傳感器報警產生的原因及其防范措施

    來源:新橋培訓,謝謝 編輯:感知芯視界 Link 01激光甲烷傳感器報警的外界因素及防范措施 1、甲烷傳感器受到放炮崩等強烈震動;甲烷傳感器經常挪移,造成航空插頭松動等引起顯示異常。 防范措施:甲烷
    的頭像 發表于 03-29 09:20 ?1876次閱讀

    氣象災害對輸電線路的危害,微氣象監測設備助力提前防范

    微氣象在線監測設備DX-WPS100-QX,通過微氣象傳感器實時采集環境溫度、濕度、風速、風向、降水量等信息,無線發送到監測中心,幫助線路運維人員及時掌握氣象變化,提前預測氣象災害,并及時采取防范措施
    的頭像 發表于 03-14 13:45 ?782次閱讀

    淺談醫院電氣能源管理與節能措施分析

    淺談醫院電氣能源管理與節能措施分析 張穎姣 安科瑞電氣股份有限公司 上海嘉定 201801 摘要:醫院建筑工程的電氣設計比其他行業的電氣設計難度大,因為醫院是公共場所,人數較多。醫院擁有診療設備
    的頭像 發表于 02-27 15:11 ?474次閱讀
    <b class='flag-5'>淺談</b>醫院電氣能源管理與節能<b class='flag-5'>措施</b>分析

    淺談有源濾波器在建筑辦公樓宇配電系統中的應用與選型

    淺談有源濾波器在建筑辦公樓宇配電系統中的應用與選型 張穎姣 安科瑞電氣股份有限公司 上海嘉定 201801 摘要:本文通過對諧波概念及其危害的分析,對諧波源的分類描述,指明了諧波對于現代建筑整個
    的頭像 發表于 02-22 14:51 ?422次閱讀
    <b class='flag-5'>淺談</b>有源濾波器在建筑辦公樓宇配電系統中的應用與選型

    浪涌Surge整改:電氣系統的潛在風險與防范措施

    浪涌Surge整改:電氣系統的潛在風險與防范措施?|深圳比創達電子
    的頭像 發表于 02-22 10:05 ?487次閱讀

    電梯變頻器損壞原因及防范措施

    安裝環境及使用環境方面導致電梯變頻器故障。有些電梯變頻器由于安裝場地的限制、在安裝環境不符合要求的情況依然安裝!
    的頭像 發表于 02-03 11:27 ?2512次閱讀

    靜電的危害及控制措施有哪些

    ,我們有必要了解靜電的危害性,并采取相應的控制措施以減少其不良影響。 一、靜電的危害 對人體的影響 靜電在人體上的積累和放電會引起一系列的危害。首先,靜電放電時會產生強烈的灼燒感,導致
    的頭像 發表于 01-22 11:11 ?2692次閱讀

    靜電的危害及防護措施

    靜電的危害及防護措施 靜電是指物體表面的電荷分布不平衡所引起的現象。雖然靜電自身通常不具有危險性,但當靜電釋放時,也許會對人體、設備或環境造成一定的損害。因此,了解靜電的危害,并采取相應的防護
    的頭像 發表于 01-03 13:42 ?2256次閱讀
    主站蜘蛛池模板: 久久www免费人成_看片高清| 99久久免费视频6| 手机在线观看毛片| 欧美 国产 日产 韩国 在线| 精品日韩欧美一区二区三区| 国产精品一区二区三区四区五区| 大香伊蕉在人线国产97| 白丝高中生被c爽哭| av先锋影音资源男人站| 99精品视频免费在线观看| 嘴巴舔着她的私处插| 在教室做啊好大用力| 一道精品视频一区二区| 亚洲人成人毛片无遮挡| 亚洲欧美另类无码专区| 亚洲性无码AV久久成人| 一本道在线综合久久88| 亚洲中文字幕乱倫在线| 夜夜穞狠狠穞| 在线视频免费观看| 91亚洲精品| 99热久这里都是精品小草| TIMI1TV天美传媒在线观看| www.99在线| 国产精品99久久久久久AV蜜臀| 国产成人免费a在线视频app| 国产精品嫩草免费视频| 国内精品久久久久久久试看 | 亲胸摸下面激烈免费网站| 欧美丝袜女同| 色综合精品无码一区二区三区| 善良的小峓子2在钱免费中文字| 天天爽夜夜爽8888视频精品| 亚洲 欧美 综合 高清 在线 | 男人日女人的b| 秋霞三级理伦免费观看| 十九岁在线观看免费完整版电影| 午夜福利自怕| 野花视频在线观看免费| 99re6久久在热线视频| 国产1769一七六九视频在线|