Техника на mitre.org

T1550.002: Передача хеша (Pass the Hash)

Злоумышленники могут воспользоваться методом передачи хеша украденных паролей, чтобы обеспечить перемещение внутри периметра и обойти обычные средства управления доступом. Передача хеша (Pass the Hash) позволяет выполнять аутентификацию от имени пользователя без ввода пароля. Этот метод обходит стандартные этапы аутентификации, требующие ввода пароля, и переходит непосредственно к этапу, на котором используется хеш пароля.

Для его реализации хеши пароля от целевой учетной записи извлекаются с помощью техники Получение учетных данных, а затем используются для аутентификации от имени этого пользователя. После аутентификации метод передачи хеша может использоваться для выполнения действий в локальных или удаленных системах.

Злоумышленники также могут использовать украденные хеши паролей для реализации техники Overpass the Hash. Она предусматривает использование хеша пароля для аутентификации от имени пользователя, аналогично методу передачи хеша, а также для создания действительного билета Kerberos. Этот билет впоследствии может использоваться для проведения атак типа Передача билета (Pass the Ticket).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-606: Pass_The_Hash: Атака Pass-the-Hash

Способы обнаружения

ID	DS0026	Источник и компонент данных	Active Directory: Запрос учетных данных Active Directory	Описание	Отслеживайте запросы билетов на выдачу билетов или билеты службы, которые выдаются контроллеру домена. События безопасности Windows с идентификаторами 4768 (запрос билета аутентификации Kerberos (TGT)) и 4769 (запрос билета службы Kerberos) в сочетании с данными о создании сеанса входа в систему могут свидетельствовать о попытке использования метода Overpass the Hash.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте недавние попытки входа в систему и использование учетных данных в событиях и проверяйте их на наличие несоответствий. Необычные попытки удаленной аутентификации, связанные с другими подозрительными действиями (например, записью и выполнением бинарных файлов), могут указывать на вредоносную активность. Примечание. Идентификатор события в аналитике соответствует событию в журнале безопасности Windows (событие с идентификатором 4624: вход с учетной записью выполнен успешно). Успешное применение техники "Передача хеша (Pass the Hash)" для перемещения внутри периметра между рабочими станциями генерирует событие с идентификатором 4624 (информационного уровня) в журнале безопасности Windows. Данное событие покажет попытки входа с аутентификацией NTLM LogonType 3 не через домен и с учетной записью, не соответствующей ANONYMOUS LOGON. Аналитика 1. Успешная попытка входа с локальной учетной записью `(source="*WinEventLog:Security" EventCode="4624") TargetUser= "ANONYMOUS LOGON" AND AuthenticationPackageName="NTLM"`

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Отслеживайте попытки аутентификации пользователей. В классической атаке с передачей хеша (Pass the Hash) для аутентификации на скомпрометированной конечной системе используется хеш через протокол NTLMv1/NTLMv2. В таком варианте эта техника не затрагивает Kerberos. Поэтому аутентификация NTLM LogonType 3, не связанная с входом в домен и не являющаяся анонимным входом, вызывает подозрения. Для реализации техники Overpass The Hash злоумышленнику требуется обменять хеш на билет аутентификации Kerberos (TGT). Один из способов сделать это — создать "жертвенный" сеанс входа с фиктивными учетными данными (LogonType 9), а затем внедрить хеш в этот сеанс, который запустит процесс аутентификации Kerberos.

ID	Источник и компонент данных	Описание
DS0026	Active Directory: Запрос учетных данных Active Directory	Отслеживайте запросы билетов на выдачу билетов или билеты службы, которые выдаются контроллеру домена. События безопасности Windows с идентификаторами 4768 (запрос билета аутентификации Kerberos (TGT)) и 4769 (запрос билета службы Kerberos) в сочетании с данными о создании сеанса входа в систему могут свидетельствовать о попытке использования метода Overpass the Hash.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте недавние попытки входа в систему и использование учетных данных в событиях и проверяйте их на наличие несоответствий. Необычные попытки удаленной аутентификации, связанные с другими подозрительными действиями (например, записью и выполнением бинарных файлов), могут указывать на вредоносную активность. Примечание. Идентификатор события в аналитике соответствует событию в журнале безопасности Windows (событие с идентификатором 4624: вход с учетной записью выполнен успешно). Успешное применение техники "Передача хеша (Pass the Hash)" для перемещения внутри периметра между рабочими станциями генерирует событие с идентификатором 4624 (информационного уровня) в журнале безопасности Windows. Данное событие покажет попытки входа с аутентификацией NTLM LogonType 3 не через домен и с учетной записью, не соответствующей ANONYMOUS LOGON. Аналитика 1. Успешная попытка входа с локальной учетной записью `(source="*WinEventLog:Security" EventCode="4624") TargetUser= "ANONYMOUS LOGON" AND AuthenticationPackageName="NTLM"`
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Отслеживайте попытки аутентификации пользователей. В классической атаке с передачей хеша (Pass the Hash) для аутентификации на скомпрометированной конечной системе используется хеш через протокол NTLMv1/NTLMv2. В таком варианте эта техника не затрагивает Kerberos. Поэтому аутентификация NTLM LogonType 3, не связанная с входом в домен и не являющаяся анонимным входом, вызывает подозрения. Для реализации техники Overpass The Hash злоумышленнику требуется обменять хеш на билет аутентификации Kerberos (TGT). Один из способов сделать это — создать "жертвенный" сеанс входа с фиктивными учетными данными (LogonType 9), а затем внедрить хеш в этот сеанс, который запустит процесс аутентификации Kerberos.

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Примените обновление KB2871997 к системам Windows 7 и выше, чтобы ограничить доступ по умолчанию к учетным записям в группе локальных администраторов.

ID	M1052	Название	Контроль учетных записей	Описание	Чтобы защититься от передачи хеша, включите применение ограничений UAC к локальным учетным записям при входе в сеть. Соответствующий ключ реестра: `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy`. Через GPO: Конфигурация компьютера > [Политики] > Административные шаблоны > SCM: Pass the Hash Mitigations > Apply UAC restrictions to local accounts on network logons.

ID	M1018	Название	Управление учетными записями	Описание	Не допускайте, чтобы пользователь домена находился в локальной группе администраторов на нескольких системах.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте дублирование учетных данных в разных системах, чтобы предотвратить ущерб от компрометации учетных данных и уменьшить возможности злоумышленника по латеральному перемещению между системами.

ID	Название	Описание
M1051	Обновление ПО	Примените обновление KB2871997 к системам Windows 7 и выше, чтобы ограничить доступ по умолчанию к учетным записям в группе локальных администраторов.
M1052	Контроль учетных записей	Чтобы защититься от передачи хеша, включите применение ограничений UAC к локальным учетным записям при входе в сеть. Соответствующий ключ реестра: `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy`. Через GPO: Конфигурация компьютера > [Политики] > Административные шаблоны > SCM: Pass the Hash Mitigations > Apply UAC restrictions to local accounts on network logons.
M1018	Управление учетными записями	Не допускайте, чтобы пользователь домена находился в локальной группе администраторов на нескольких системах.
M1026	Управление привилегированными учетными записями	Ограничьте дублирование учетных данных в разных системах, чтобы предотвратить ущерб от компрометации учетных данных и уменьшить возможности злоумышленника по латеральному перемещению между системами.