攻击与谨防的双刃剑:探防DDoS究操作系统凭据转储的两面性-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 攻击与谨防的双刃剑:探防DDoS究操作系统凭据转储的两面性

攻击与谨防的双刃剑:探防DDoS究操作系统凭据转储的两面性

小墨安全管家 2020-05-27 13:59 CC防护 89 ℃
DDoS防御

我们的检测始终环绕在恶意软件使用嵌入式开源工具的事件上,假如我们怀疑大概存在操作系统凭据转储的事件,还能够在Windows事件查看器中检查一些条目。

3、缓存的凭据

作为一具简单的示例,我录制了下面的两个视频。第一具视频展示了怎么使用名为hashdump的简单工具,这是Metasploit meterpreter中的一部分,所以我们需要借助meterpreter会话和系统特权,在复现的计算机上建立立脚点。该工具将会从SAM数据库中转储信息,例如凭据哈希。而第二个视频展示了怎么寻觅环境中存在的其他可用系统,以及怎么利用哈希传递技术利用窃取到的凭据横向挪移到其他系统上。

攻击与谨防技术复现

我们也能够在各种文件中找到密码,其中包括配置文件和用户创建的文件(通常为纯文本)。某些日志文件大概包含凭据信息,例如安装程序日志,有时还能够在崩溃报告中找到它们。

攻击与防备的双刃剑:探防DDoS究操作系统凭据转储的两面性

域凭据被存储在注册表中,以允许用户在未连接到域时可以登录其系统。Windows系统会缓存最终10个登录哈希,默认事情下一些位置最多能够存储25个。那个数字能够在注册表中配置。

由于例如NT/LM和Kerberos Tickets之类的哈希凭据都存储在内存中,也算是LSASS进程中,所以具有相应级别访咨询权限(Administrative)的威胁行为者能够使用各类免费提供的工具来转储哈希值,这些工具包括Mimikatz和Windows凭据编辑器。

解决方案和缓解措施

像以前一样,我们的FortiSIEM客户还能够借助很多预定义的规则来检测操作系统凭据转储,包括使用高级Windows代理的LSASS进程篡改技术,以及检测卷影副本的可疑活动,这将关心我们发觉攻击者从NTDS.dit文件中窃取凭据的尝试。下面是LSASS规则和检测日志的示例,以及所使用的MITRE ATT&CK战术和技术的概述图。假如能有效地将技术链组合在一起,将会很有关心。

如我们所见,Windows操作系统会将凭据存储在各种位置,同时以各种格式举行存储,这就导致攻击者在入侵凭据时能够挑选多种方式。

Fgdump


DDoS防御

当前位置:主页 > CC防护 > 攻击与谨防的双刃剑:探防DDoS究操作系统凭据转储的两面性

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119