攻擊者將惡意行為與日常IT活動相結(jié)合,可避免暴露自己的身份,并在較長時間內(nèi)不被發(fā)現(xiàn)。例如,大家通常想到的什么是最快和最常見的訪問計算機(jī)的方式?很明顯答案是登錄,但值得注意的是,竊取和使用合法憑證來獲取訪問權(quán)限是攻擊者最廣泛使用的手段之一。
攻擊者從服務(wù)器竊取用戶憑據(jù)的幾種方式
除了典型的暴力破解攻擊、網(wǎng)絡(luò)釣魚或肩膀沖浪密碼攻擊(它涉及從受害者的肩膀上偷看以獲取密碼或其他敏感數(shù)據(jù))之外,還有其他竊取憑據(jù)的方法。例如,攻擊者可以從其存儲位置竊取或轉(zhuǎn)儲憑據(jù)。
讓我們看一下攻擊者使用的幾種憑據(jù)竊取手段
LSASS(本地安全機(jī)構(gòu)子系統(tǒng)服務(wù))中的轉(zhuǎn)儲憑據(jù):LSASS是MicrosoftWindows操作系統(tǒng)中的一個進(jìn)程,負(fù)責(zé)在系統(tǒng)上實施安全策略。它驗證登錄到Windows計算機(jī)或服務(wù)器的用戶,處理密碼更改并創(chuàng)建訪問令牌。
用戶登錄后,將生成各種憑據(jù)并將其存儲在內(nèi)存中的本地安全授權(quán)子系統(tǒng)服務(wù)LSASS進(jìn)程中,以便用戶不必在每次訪問系統(tǒng)資源時重復(fù)登錄。
攻擊者按照以下三個簡單步驟就可以從內(nèi)存中轉(zhuǎn)儲這些純文本憑據(jù):
◇從LSASS進(jìn)程創(chuàng)建內(nèi)存轉(zhuǎn)儲
◇通過USB驅(qū)動器復(fù)制和提取內(nèi)存轉(zhuǎn)儲或?qū)⑵渖蟼鞯皆票P◇使用免費的憑證轉(zhuǎn)儲工具(例如Mimikatz)從內(nèi)存中抓取憑證
還有一個legacyprotocolWDDigest,用于對Windows中的用戶進(jìn)行身份驗證。
但是,啟用以下注冊表項后,LSASS會將登錄用戶密碼的純文本副本保留在其內(nèi)存中。
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigestmustbesetto'1']
◇攻擊者可以通過修改上面的注冊表項,以允許在LSASS中存儲即用型明文密碼。
◇您可以通過將其運行為受保護(hù)的進(jìn)程來防止對LSASS的此類攻擊。
◇要在保護(hù)模式下啟用LSASS,需要將注冊表項更新為1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL
一旦啟用保護(hù)模式,所有在LSASS上的憑證提取嘗試都將失敗。
但是,像我們前面提到的,憑據(jù)其實還存儲在Windows系統(tǒng)的其他不同區(qū)域,這意味著攻擊者還有其他機(jī)會。
轉(zhuǎn)儲域緩存憑據(jù)
Windows還將用戶的登錄信息存儲在本地,包括域憑據(jù)+域授權(quán)信息,以便在無法訪問身份驗證服務(wù)時也可以登錄到系統(tǒng),這稱為域緩存憑據(jù)(DCC-domaincachedcredentials),MSCACHE或MSCASH哈希。這些哈希存儲在Windows注冊表中。默認(rèn)情況下,將存儲用戶的最后10個密碼哈希值。
由于這些哈希值可以從存儲在注冊表中的特定系統(tǒng)文件和安全文件中被提取,一旦攻擊者竊取到這些特殊文件,他們將可以輕而易舉地提取到純文本密碼。
ActiveDirectory域數(shù)據(jù)庫
通過竊取NTDS.dit文件(ActiveDirectory的數(shù)據(jù)庫),攻擊者可以提取每個用戶密碼哈希的副本,并可以冒充域中的任何用戶。但是由于NTDS.dit文件始終處于被使用狀態(tài),因此無法復(fù)制或移動它。因此,攻擊者可以利用卷影復(fù)制服務(wù)(VSS-VolumeShadowCopyService)方法來竊取文件的中存儲的明文密碼。
從剪貼板中提取密碼假設(shè)理想狀態(tài)下,您已經(jīng)保護(hù)了每臺服務(wù)器避免憑證轉(zhuǎn)儲,攻擊者仍可以利用剪貼板中的內(nèi)容提取密碼,因為有些用戶很可能會從一個安全位置(如密碼庫)復(fù)制了用戶名和密碼并粘貼到在他們的登錄屏幕上。
記錄鍵盤操作以提取憑證攻擊者通常在策略上將鍵盤記錄程序定位在組策略或注冊表的登錄腳本中。他們甚至可以創(chuàng)建計劃任務(wù)來記錄按鍵,以提取用戶通過按鍵輸入的信息。除憑據(jù)外,此鍵盤記錄程序還可以捕獲個人身份信息(PII),例如信用卡信息以及密碼、身份證號碼等。
與其他攻擊方式相比,憑據(jù)轉(zhuǎn)儲攻擊更快,更具破壞性,因為一旦攻擊者轉(zhuǎn)儲了您域中用戶的憑據(jù),它們就可以冒充域中任何用戶,甚至您的特權(quán)用戶去執(zhí)行一些非法活動。
因此,在所有終端上監(jiān)視多個位置以檢測憑證轉(zhuǎn)儲嘗試是至關(guān)重要的。例如,Windows系統(tǒng)還在路徑AppData\Local\Google\Chrome\UserData\Default\LoginData中存儲一些常用的瀏覽器(如GoogleChrome)的加密憑據(jù),而攻擊者可以使用一些免費的開源工具從該位置提取到一些重要憑據(jù)。
您可以通過訪問我們的IT安全攻擊介紹頁面,觀看模擬來了解有關(guān)Windows環(huán)境下各種憑據(jù)轉(zhuǎn)儲攻擊技術(shù)的更多信息。
如果您正在尋找可以檢測和減輕網(wǎng)絡(luò)中憑據(jù)轉(zhuǎn)儲嘗試的方案,歡迎了解卓豪的ManageEngineLog360全方位日志管理解決方案!
