传递杂凑(Pass-the-Hash)-CyberArk.PDF

傳遞雜湊(Pass-the-Hash) 解決方案概述 Pass-the-Hash 何謂傳遞雜湊(Pass-the-Hash) 駭客用來滲透組織的工具和技術始終不斷地進化，而駭客竊取憑證一直是受到關切的問題點所在，因為受損的憑證 會使駭客更容易存取組織最關鍵的資產，且不會被查覺到。 傳遞雜湊是一種利用竊取而來的憑證所施行的攻擊技術，常被用於進階的攻擊並對組織造成重大的風險。此一技術牽涉 到攻擊者從某台電腦中竊取到帳號憑證，並利用它對網路中其它的存取點進行認證。傳遞雜湊的攻擊無需純文字密碼， 而可讓攻擊者使用密碼散列作認證。此密碼散列值是在針對安全儲存體建立密碼散列時，原始密碼經過單向的數學函數 演算後所產生的。 因為傳遞雜湊攻擊利用的是受保護之散列形態中的密碼，故它讓攻擊者可以在完全不知道純文字密碼的情形中能模仿經認 證的使用者。攻擊者亦可在其它系統和服務中重複使用(傳遞)這些被竊取並經過散列演算的憑證，以獲取更多深入的存取 許可。例如，若攻擊者獲得了一個網域管理者已登入過之裝置的存取權，就可經由這網域竊取網域帳號憑證，並透過該網 域存取該帳號所有的相關資源、權限和特權。透過此一途徑，攻擊者便可一步步接近網域主控站。 因此，任何儲存散列的機器皆可能構成傳遞雜湊攻擊的第一步，使駭客得以獲得組織最關鍵和敏感的數據資料。被儲存 下來的散列會使得整個網域中的複數個裝置都有安全上的漏洞。下圖顯示出了傳遞雜湊攻擊可在其中一台裝置上啟動， 並可輕易地對網域主控站作存取動作。 從裝置1，使用者1獲得對裝置2、裝置3、裝置4和裝 Machine 5 置5的存取許可。 user1 Machine 1 user3 因此，在裝置1上的攻擊者可將使用者1的散列運算憑 user3 證和認證傳遞給任何一台這些連接的裝置。攻擊者會 user1 尋找其它散列，使其得以在裝置間竄流，最後便能夠 user1 user1 userX 通過裝置9的認證，而其為此圖中唯一可存取網域主 Machine 4 userY 控伺服器的電腦。 user5 Machine 3 user2 Machine 2 藉由使用系統性的攻擊，攻擊者一旦獲得其中一個特 user7 user5