哈希传递攻击
哈希传递攻击 是什么?
哈希传递攻击一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
Pass-the-Hash(PtH)利用了 NTLM 认证将密码哈希视为有效凭据的设计:任何持有哈希的进程都可在不知道明文密码的情况下完成认证。攻击者通常使用 Mimikatz 或 secretsdump 从 LSASS 内存或 SAM 数据库中抽取哈希,然后将其重放到 SMB、WMI 或远程管理服务上,实现横向移动。MITRE ATT&CK 将其归类为 T1550.002,属于「使用替代身份验证材料」。常见防御包括启用 Credential Guard、用 LAPS 限制本地管理员账户共用、实施分层管理模型、尽可能禁用 NTLM,以及监控对 LSASS 的访问和异常登录。
● 示例
- 01
攻击者用 Mimikatz 提取 NTLM 哈希,然后通过 SMB 认证到其他服务器。
- 02
在整个内网复用本地管理员哈希,从一台工作站跳板到文件服务器。
● 常见问题
哈希传递攻击 是什么?
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。 它属于网络安全的 攻击与威胁 分类。
哈希传递攻击 是什么意思?
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
哈希传递攻击 是如何工作的?
Pass-the-Hash(PtH)利用了 NTLM 认证将密码哈希视为有效凭据的设计:任何持有哈希的进程都可在不知道明文密码的情况下完成认证。攻击者通常使用 Mimikatz 或 secretsdump 从 LSASS 内存或 SAM 数据库中抽取哈希,然后将其重放到 SMB、WMI 或远程管理服务上,实现横向移动。MITRE ATT&CK 将其归类为 T1550.002,属于「使用替代身份验证材料」。常见防御包括启用 Credential Guard、用 LAPS 限制本地管理员账户共用、实施分层管理模型、尽可能禁用 NTLM,以及监控对 LSASS 的访问和异常登录。
如何防御 哈希传递攻击?
针对 哈希传递攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
哈希传递攻击 还有哪些其他名称?
常见的别称包括: PtH。
● 相关术语
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- identity-access№ 584
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
- defense-ops№ 606
横向移动
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
- defense-ops№ 229
凭据访问
MITRE ATT&CK 战术 TA0006,涵盖窃取账户名、口令、令牌等机密信息的各种技术。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- attacks№ 791
票据传递攻击
针对 Active Directory 的攻击,通过重放窃取的 Kerberos 票据冒充用户或服务,而无需知道其密码。
● 参见
- № 107BloodHound
- № 746NTLM Relay 攻击
- № 1057SMB Relay 攻击
- № 620LLMNR 投毒
- № 715NBT-NS 投毒
- № 924Responder 攻击