DEV Community
·
凭证转储:NTLM 哈希检测与防范
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
NTLM(NT LAN Manager)是微软的安全协议,用于用户身份验证和加密。尽管被视为过时,因兼容旧系统仍被广泛使用。NTLM通过存储密码哈希而非明文密码来增强安全性,采用挑战/响应机制进行身份验证,并生成会话密钥加密通信。攻击者可通过提取NTLM哈希进行攻击,常用工具ProcDump可从LSASS内存中提取哈希,需注意误报风险。
🎯
关键要点
- NTLM(NT LAN Manager)是微软的安全协议,用于用户身份验证和加密。
- 尽管被视为过时,NTLM因兼容旧系统仍被广泛使用。
- NTLM通过存储密码哈希而非明文密码来增强安全性。
- NTLM采用挑战/响应机制进行身份验证,并生成会话密钥加密通信。
- 攻击者可通过提取NTLM哈希进行攻击,常用工具ProcDump可从LSASS内存中提取哈希。
- NTLM存储用户密码哈希、会话密钥和安全标识符(SIDs)以增强安全性。
- NTLM哈希提取通常发生在攻击者获得管理员权限后。
- LSASS进程内存和NTDS.dit文件是NTLM哈希的主要存储位置。
- 攻击者提取NTLM哈希后可进行传递哈希攻击,获取未经授权的访问。
- 使用ProcDump提取NTLM哈希的步骤包括执行procdump.exe并生成转储文件。
- SIEM和EDR可以用于检测ProcDump的使用,但可能会出现误报。
➡️
