跳转至

T1550-002-windows-哈希传递

来自ATT&CK的描述

攻击者可能会使用被盗的密码哈希来“传递哈希”,从而在环境中横向移动,从而绕过正常的系统访问控制。传递哈希(PtH)是一种无需访问用户的明文密码即可作为用户身份验证的方法。此方法绕过需要明文密码的标准身份验证步骤,而直接进入使用密码哈希的身份验证部分。在这种技术中,使用凭据访问技术可以捕获正在使用的帐户的有效密码哈希。捕获的哈希与PtH一起用于验证该用户身份。一旦通过身份验证,PtH可用于在本地或远程系统上执行操作。

具有KB2871997的Windows 7及更高版本需要有效的域用户凭据或RID 500管理员哈希。

测试案例

passing the hash,中文一般翻译为hash传递攻击,在windows系统中,系统通常不会存储用户登录密码,而是存储密码的哈希值,在我们远程登录系统的时候,实际上向远程传递的就是密码的hash值。当攻击者获取了存储在计算机上的用户名和密码的hash值的时候,他虽然不知道密码值,但是仍然可以通过直接连接远程主机,通过传送密码的hash值来达到登录的目的。

检测日志

windows 安全日志(靶机、攻击机)

测试复现

基础环境

DC:windows server 2008 R2

PC1:windows server 2008 R2 (目标主机)

PC2:win 7 (攻击机)

Mimikatz (测试工具)

测试过程

1.获取相关账户的NTLM哈希,具体过程不再演示,mimikatz即可

2.利用mimikatz进行PTH mimikatz.exe "privilege::debug" "sekurlsa::pth /user:administrator /domain:xiaomi.org /ntlm:762c6fa6a9adb2f5ff215484bd8296b7"

测试留痕

windows安全日志

目标主机-PC1-PTH成功

Event-ID: 4624

已成功登录帐户。

使用者:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

新登录:
安全 ID: S-1-5-21-3576461989-1381017913-248049510-500
帐户名: Administrator
帐户域: XIAOMI
登录 ID: 0xF86B9
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x0
进程名: -

网络信息:
工作站名: 12306BR0-PC
源网络地址: 192.168.66.88
源端口: 49251

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递的服务: -
数据包名(仅限 NTLM): NTLM V2
密钥长度: 128

目标主机-PC1-PTH失败

Event-ID: 4625

登录失败的帐户:
安全 ID: NULL SID
帐户名: administrator
帐户域: xiaomi.org

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xC000006D
子状态: 0xC000006A

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名: 12306BR0-PC
源网络地址: 192.168.66.88
源端口: 49253

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

攻击机-PC2

Event-ID: 4624

已成功登录帐户。

使用者:
安全 ID: S-1-5-21-3579006141-3881886638-2121494774-1000
帐户名: 12306Br0
帐户域: 12306Br0-PC
登录 ID: 0x1AB7F9

登录类型: 9

新登录:
安全 ID: S-1-5-21-3579006141-3881886638-2121494774-1000
帐户名: 12306Br0
帐户域: 12306Br0-PC
登录 ID: 0x234995
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x398
进程名: C:\Windows\System32\svchost.exe

网络信息:
工作站名:
源网络地址: ::1
源端口: 0

详细身份验证信息:
登录进程: seclogo
身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

检测规则/思路

sigma规则

title: Pass the Hash Activity(目标主机)
id: f8d98d6c-7a07-4d74-b064-dd4a3c244528
status: experimental
description: Detects the attack technique pass the hash which is used to move laterally inside the network
references:
    - https://github.com/iadgov/Event-Forwarding-Guidance/tree/master/Events
author: Ilias el Matani (rule), The Information Assurance Directorate at the NSA (method)
date: 2017/03/08
tags:
    - attack.lateral_movement
    - attack.T1550-002
    - car.2016-04-004
logsource:
    product: windows
    service: security
    definition: The successful use of PtH for lateral movement between workstations would trigger event ID 4624, a failed logon attempt would trigger an event ID 4625
detection:
    selection:
        - EventID: 4624
          LogonType: '3'
          LogonProcessName: 'NtLmSsp'
          WorkstationName: '%Workstations%'
          ComputerName: '%Workstations%'
        - EventID: 4625
          LogonType: '3'
          LogonProcessName: 'NtLmSsp'
          WorkstationName: '%Workstations%'
          ComputerName: '%Workstations%'
    filter:
        AccountName: 'ANONYMOUS LOGON'
    condition: selection and not filter
falsepositives:
    - Administrator activity
    - Penetration tests
level: medium

title: Pass the Hash Activity 2(攻击机)
id: 8eef149c-bd26-49f2-9e5a-9b00e3af499b
status: production
description: Detects the attack technique pass the hash which is used to move laterally inside the network
references:
    - https://github.com/iadgov/Event-Forwarding-Guidance/tree/master/Events
    - https://blog.binarydefense.com/reliably-detecting-pass-the-hash-through-event-log-analysis
    - https://blog.stealthbits.com/how-to-detect-pass-the-hash-attacks/
author: Dave Kennedy, Jeff Warren (method) / David Vassallo (rule)
date: 2019/06/14
tags:
    - attack.lateral_movement
    - attack.T1550-002
logsource:
    product: windows
    service: security
    definition: The successful use of PtH for lateral movement between workstations would trigger event ID 4624
detection:
    selection:
        - EventID: 4624
          SubjectUserSid: 'S-1-0-0'
          LogonType: '3'
          LogonProcessName: 'NtLmSsp'
          KeyLength: '0'
        - EventID: 4624 #未测试触发此特征
          LogonType: '9'
          LogonProcessName: 'seclogo'
    filter:
        AccountName: 'ANONYMOUS LOGON'
    condition: selection and not filter
falsepositives:
    - Administrator activity
    - Penetration tests
level: medium

建议

规则未经过实际环境测试验证检测效果,谨慎使用!

参考推荐

MITRE-ATT&CK-T1550-002

https://attack.mitre.org/techniques/T1550/002/

windows-哈希传递1

https://github.com/12306Bro/sigma/blob/master/rules/windows/builtin/win_pass_the_hash.yml

windows-哈希传递2

https://github.com/12306Bro/sigma/blob/master/rules/windows/builtin/win_pass_the_hash_2.yml