凭据转储是网络攻击者用来获得对目标网络的持久访问权的一项重要技术。他们利用网络钓鱼渗透到目标企业的网络工作站,然后使用管理员管理和监控网络的典型方法从操作系统和软件中获取帐户登录和密码信息,通常以散列或明文密码的形式。一旦凭据被转储,攻击者就可以使用这些凭据进行横向移动并访问受限信息。凭据对攻击者来说非常重要,以至于在许多情况下获取用户名和密码不仅是达到目的的一种手段,而且是攻击的全部目标。因此,凭据成为各种犯罪论坛上出售的商品,并且有些网站会跟踪公开的凭据转储。可以说,任何企业组织都可能存在使它们容易受到凭证转储攻击的漏洞。以下是识别此类漏洞或限制此类风险的5种方法,希望能帮助组织更好地抵御凭据转储攻击。1.限制凭证复用根据《Verizon数据泄露调查报告》,“凭证复用”仍然是攻击者在内网获取权限或活动的主要方式之一。这是有道理的,因为用户名和密码对于攻击者来说并不难获得。弱密码、密码重用和大量密码公开泄露使得攻击者很容易找到凭据来闯入网络。一旦他们进入网络,就可以更容易地获得额外的凭据。此外,许多网络钓鱼攻击试图获取用户凭据,然后这些凭据可用于恶意活动以获取对网络的访问权限。遇到这种情况,我们该怎么办?首先,检查您的网络管理。查找不熟悉的登录位置。此外,在奇怪的时间登录,或多人同时登录是一种异常现象。即使您无法在第一时间检测到可疑登录,但在事件响应过程中,这些异常事件会让您发现攻击者已进入网络。此时,您可以在日志中查找可疑活动并将其标记以供进一步调查。在调查期间使用。NIST建议,组织应定期检查其用户密码是否在公开可用的密码数据库中。曾经在网络上使用过的任何密码信息都会出现在泄露的密码列表中,使您的网络更容易受到攻击。TroyHunt发布了一个数据库,其中包含超过5亿个泄露密码的信息。您可以使用各种资源将这些泄露的密码与您自己网络上使用的密码进行比较。例如,您可以使用密码过滤器在ActiveDirectory域上为ActiveDirectory安装Lithnet密码保护(LPP),以查看网络上正在使用的密码。然后使用组策略自定义对这些密码的检查。当然,您可以选择“拒绝”或“允许”这些操作。2.管理本地管理员密码组织必须清楚地了解管理本地管理员密码的重要性。这些密码不应在整个网络中设置得完全相同。为了便于记忆,组织可以考虑部署本地管理员密码解决方案(LAPS)。还可以安装LithnetLAPS网络应用程序,它提供了一个简单的基于网络的移动友好界面,用于访问本地管理员密码。攻击者知道,一旦他们获得网络内部访问权限并不幸地获得了本地管理员密码的剩余哈希值,他们就可以在网络中横向移动。随机分配密码意味着攻击者将无法执行这种横向移动。3.查看和审核NTLM使用情况如果您使用的是新技术LAN管理器(NTLM),攻击者可以使用NTLM哈希来访问您的网络。依赖LM或NTLM身份验证并结合任何通信协议(SMB、FTP、RPC、HTTP等)会使您面临此类攻击的风险。只要企业内部存在哪怕一台易受攻击的设备,攻击者就可以找到进入的方法。从Windows7/WindowsServer2008R2开始,默认情况下禁用NTLMv1和LM身份验证协议,但现在,是时候重新检查了您的设置以确保您有权执行NTLMv2。您可以使用PowerShell查看网络上的NTLM使用情况。在组策略中,设置值如下:◆选择“开始”。选择“运行”;◆进入GPedit.msc;◆选择“本地计算机策略”;◆选择“计算机配置”;◆选择“Windows设置”;◆选择“安全设置”;◆选择“本地策略”;◆选择“安全选项”;◆滚动到策略“网络安全:LANManager身份验证级别”;◆右击“属性”;◆选择“仅发送NTLMv2响应/拒绝LM和NTLM”;◆点击“确定”确认设置更改;注册表设置值如下:◆打开regedit.exe,定位到HKLM\System\CurrentControlSet\control\LSA。单击LSA。如果您在右窗格中没有看到LMCompatibilityLevel,您可能需要添加一个新的注册表项。选择编辑。◆选择“新建”;◆选择“REG_DWORD”;◆用“LMCompatibilityLevel”替换“NewValue#1”;◆在右窗格中双击LMCompatibilityLevel;◆输入“5”表示变化的程度。您可能需要升级打印机固件以支持网络中的NTLMv2;4.管理“复制目录更改”的访问控制列表攻击者比我们更了解如何使用我们域中的帐户。他们经常滥用MicrosoftExchange权限组。因此,您需要监控对域中关键功能的安全组和访问控制列表(ACL)的更改。审核和监控您域中ACL的任何更改。当攻击者修改域对象的ACL时,会创建ID为5136的事件。然后,您可以使用PowerShell脚本查询Windows事件日志,以在日志中查找安全事件ID5136:然后,使用ConvertFrom-SDDL4,它能够将SDDL字符串转换为更具可读性的ACL对象。Server2016及更高版本提供了一个额外的审计事件,用于记录原始和修改的描述符。5.监控与Isass.exe交互的异常进程最后,监控lsass.exe进程中的异常峰值。域控制器使用lsass.exe进程作为域事务正常过程的一部分。拒绝服务(DoS)和恶意流量可能隐藏在这些进程中。确定域控制器中的健康状况是监控攻击时间的关键。在域控制器上运行ActiveDirectory数据收集器,以监视与您在网络上看到的正常进程基准相比出现的异常进程。阻止攻击者首先要对我们的网络及其资源使用情况有一个很好的基本了解。俗话说“知己知彼,百战不殆”。花点时间加深理解,以免每次都让攻击者占上风。
