解析 Pass-the-Hash 攻擊:機制與深度防禦

在網路安全領域,我們經常強調密碼強度的重要性。然而對於攻擊者而言,密碼有時只是個「中間人」。如果他們能獲取憑證的雜湊值(Hash),就能直接將其「傳遞」(Pass)以進行身份驗證,完全不需要破解原始密碼。

什麼是 Pass-the-Hash (PtH) 攻擊?

Pass-the-hash 是一種攻擊技術,入侵者擷取使用者憑證的雜湊值,並利用它開啟一個新的驗證工作階段。由於 NTLM 等協議接受雜湊值作為身份證明,攻擊者無需知道明文密碼即可取得存取權限。

攻擊演進過程

PtH 攻擊能將單一台受駭的工作站轉變為企業內部「橫向移動」的跳板:
  • 立足點: 攻擊者透過網路釣魚或未修補的漏洞進入系統。
  • 權限提升: 為了從受保護的記憶體(如 LSASS 進程)中擷取雜湊值,攻擊者必須先取得本地管理員權限。
  • 橫向移動: 利用竊取的雜湊值,攻擊者可以冒充該使用者來存取遠端伺服器或其他工作站。
  • 終極目標: 最終目標是找到曾登入工作站的「網域管理員」(Domain Admin)雜湊值,進而取得整個網域的控制權。

企業緩解策略

有效的防禦取決於阻斷橫向移動的鏈條:
  • 分層管理 (Tiered Administration): 執行嚴格的邊界控制,確保第 0 層(網域管理員)的憑證絕不在第 2 層(一般工作站)上使用。
  • Credential Guard: 利用 Windows 基於虛擬化的安全性技術,將 NTLM 雜湊值隔離在受保護的容器中。
  • 協議限制: 盡可能禁用 NTLM 並遷移至韌性更強的 Kerberos 協議。
  • 實施 LAPS: 使用微軟的「本地管理員密碼解決方案」,確保每台機器都擁有唯一且隨機的本地管理員密碼。

監控重點

安全營運中心 (SOC) 應監控以下 PtH 攻擊跡象:
  • 異常模式: 出現成功的登入事件(Event ID 4624),其驗證套件為 NTLM,但在該事件前並無互動式登入紀錄。
  • 不可能的移動: 單一帳號在短時間內從多個不同的子網進行驗證。
  • 異常服務: 遠端系統突然建立新服務,或使用 PsExec 等工具執行遠端指令。

NordPass Business 如何降低風險

NordPass 協助 IT 團隊消除導致橫向移動的脆弱點:
  • MFA 與 SSO 整合: 透過現代身份驗證供應商減少對脆弱 NTLM 登入方式的依賴。
  • 活動日誌: 提供清晰的審核軌跡,即時偵測異常的存取模式。
  • 零知識安全性: 確保數據在離開設備前已使用 XChaCha20 加密,讓攻擊者即使入侵雲端也無法取得密鑰。

關於 NordPass
NordPass 由領先全球網路安全產品市場的 Nord Security 公司開發。網路已成為一個混亂的空間,網路犯罪和資料保護問題損害了安全和信任。因此,我們團隊的全球使命是為世界各地的人們塑造一個更值得信賴、更和平的線上未來。

About Version 2

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.