译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1075
术语表: /attack/glossary
哈希传递 (PtH) 是一种不需要访问用户明文密码就可以验证用户身份的方法。此方法绕过需要明文密码的标准身份验证步骤,直接进入使用密码散列的身份验证部分。在此技术中,使用凭据访问 (Credential Access) 技术获取所使用帐户的有效密码散列。获取的散列与 PtH 一起用于该用户的身份验证。通过身份验证后,可以使用 PtH 在本地或远程系统上执行操作。
KB2871997 的 Windows 7 或更高版本要求有效的域用户凭据或 RID 500 的管理员散列。
监视系统和域日志,了解异常的凭据登录活动。
阻止访问有效帐户。
将 KB2871997 补丁应用于 Windows 7 和更高的系统,以限制本地管理员组中的帐户的默认访问。
启用哈希传递缓解措施来对网络登录上的本地帐户应用 UAC 限制。
通过 GPO 找到关联的注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy
计算机配置>[策略]>管理 Templates>SCM:
哈希传递缓解:
对网络登录的本地帐户应用 UAC 限制。
限制系统之间的凭据重叠,以防止凭据攻击带来损失,并降低攻击者在系统之间执行横向移动的能力。 确保内置和创建的本地管理员帐户具有复杂且唯一的密码。 不允许域用户位于多个系统上的本地管理员组中。
审核所有登录和凭据使用事件并检查是否存在差异。 与其他可疑活动(如编写和执行二进制文件)相关的异常远程登录可能表明恶意活动的存在。 与域登录无关且不是匿名登录的 NTLM LogonType 3 身份验证是可疑的。