capec - 644:使用捕获的散列(通过散列) |
 描述
敌人获得(即抢断或者购买)合法Windows域凭据散列值来访问系统域内利用局域网人(LM)和/或NT局域网NTLM身份验证协议。
扩展描述
当通过LM和NTLM验证,验证帐户的明文要求的凭证不成功的身份验证协议。相反,使用散列的凭证来确定身份验证是有效的。如果一个对手可以获得一个帐户的散列凭证,然后散列值可以被传递给一个系统或服务进行身份验证,而不需要蛮力散列值来获取明文的价值观。成功通过散列袭击导致对手完全作为目标帐户进行身份验证,从而进一步让对手横向移动网络内,冒充合法用户,和/或下载/安装恶意软件系统中的域。这种技术可以对执行任何操作系统,利用LM或NTLM协议即使不是基于Windows操作系统,因为这些系统/账户可能仍然Windows域进行身份验证。
攻击的可能性
典型的严重性
的关系
 此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
653年 |
使用已知的操作系统凭证 |
| CanPrecede |
 元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
151年 |
身份欺骗 |
| CanPrecede |
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
165年 |
文件处理 |
| CanPrecede |
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 |
545年 |
把数据从系统资源 |
| CanPrecede |
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 |
549年 |
当地执行的代码 |
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
获得知道Windows凭据散列值对:敌人必须获得已知Windows凭据散列值对存在于域的账户。
| 技术 |
| 敌人购买了Windows凭据散列值对从黑暗的网络。 |
| 敌人进行嗅探攻击窃取Windows凭据散列值对传播。 |
| 敌人获得访问Windows域系统/文件和漏出Windows凭据散列值对。 |
| 敌人检查上方配置和属性文件发现硬编码Windows凭据散列值对。 |
实验
尝试域身份验证:试着每一对Windows凭据散列值,直到目标授予访问权限。
| 技术 |
| 手动或自动输入每个Windows凭据散列值对目标的接口。 |
利用
模拟:敌人可以使用成功的实验或认证来模拟一个授权的用户或系统,或横向移动领域 欺骗:恶意数据可以注入到目标系统或其他系统的域。敌人也可以冒充一个合法的域用户执行社会工程攻击。 数据漏出:敌人可以获得敏感数据包含在域系统或应用程序。
先决条件
| 系统/应用程序连接到Windows域。 |
| 系统/应用程序利用局域网人(LM)和/或NT局域网NTLM身份验证协议。 |
| 对手拥有Windows凭据散列值对已知存在于目标域。 |
技能要求
|
(等级:低) 一旦敌人获得一个已知的Windows凭据散列值对,利用它是微不足道的。 |
所需资源
指标
| 验证尝试使用凭证之前使用的帐户。 |
| 身份验证尝试来自IP地址或位置不符合正常用户的IP地址或位置。 |
| 数据被转移和/或从系统/应用程序在网络中删除。 |
| 可疑或恶意软件下载/安装在系统内的域。 |
| 消息从一个合法的用户似乎含有可疑的链接或通信不符合用户的正常行为。 |
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
|
保密
访问控制
身份验证 |
获得特权 |
|
|
保密
授权 |
读取数据 |
|
|
完整性 |
修改数据 |
|
缓解措施
| 阻止使用局域网男人和NT局域网男人身份验证在塞维并应用补丁KB2871997 Windows 7和更高的系统。 |
| 利用多因素身份验证之前所有身份验证服务和给予一个实体访问域网络。 |
| 监控系统和领域为异常的凭据访问日志。 |
| 创建强密码策略,并确保您的系统实施这一政策。 |
| 利用系统渗透测试和其他深度防御方法确定脆弱的系统在一个域。 |
例子,实例
| 敌人利用变焦视频会议应用程序在2020年COVID-19大流行漏出Windows域凭据散列值对目标系统。攻击方式发送通用命名约定(UNC)路径在无保护的聊天窗口缩放缩放的电话。如果受害者点击这个链接时,他们的Windows用户名和相应的Net-NTLM-v2散列被送到的地址中包含的链接。敌人就能渗透和Windows域内横向移动通过收购凭证共享网络资源。这进一步给敌人提供了前景服务器和网络存储设备的访问。(ref - 575] |
| 操作软细胞,这至少是2012年以来已经进行,利用修改Mimikatz倾倒NTLM散列。获取散列被用于验证网络内的其他系统通过通过散列的攻击。(ref - 580] |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
相关ATT&CK分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2018-07-31
(版本2.12) |
CAPEC内容团队 |
|
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新结果,描述、Example_Instances Execution_Flow,指标,Likelihood_Of_Attack,移植,先决条件,引用,Related_Attack_Patterns, Related_Weaknesses, Resources_Required, Skills_Required Taxonomy_Mappings |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
| 2022-09-29
(版本3.8) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述 |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
