Entry № 889
哈希传递攻击
哈希传递攻击 是什么?
哈希传递攻击一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
Pass-the-Hash(PtH)利用了 NTLM 认证将密码哈希视为有效凭据的设计:任何持有哈希的进程都可在不知道明文密码的情况下完成认证。攻击者通常使用 Mimikatz 或 secretsdump 从 LSASS 内存或 SAM 数据库中抽取哈希,然后将其重放到 SMB、WMI 或远程管理服务上,实现横向移动。MITRE ATT&CK 将其归类为 T1550.002,属于「使用替代身份验证材料」。常见防御包括启用 Credential Guard、用 LAPS 限制本地管理员账户共用、实施分层管理模型、尽可能禁用 NTLM,以及监控对 LSASS 的访问和异常登录。
● 示例
- 01
攻击者用 Mimikatz 提取 NTLM 哈希,然后通过 SMB 认证到其他服务器。
- 02
在整个内网复用本地管理员哈希,从一台工作站跳板到文件服务器。
● 常见问题
哈希传递攻击 是什么?
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。 它属于网络安全的 攻击与威胁 分类。
哈希传递攻击 是什么意思?
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。
如何防御 哈希传递攻击?
针对 哈希传递攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
哈希传递攻击 还有哪些其他名称?
常见的别称包括: PtH。