DEV Community
·
凭证转储:NTLM 哈希检测与防范
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
NTLM(NT LAN Manager)是微软的安全协议,用于用户身份验证和加密。尽管被视为过时,因兼容旧系统仍被广泛使用。NTLM通过存储密码哈希而非明文密码来增强安全性,采用挑战/响应机制进行身份验证,并生成会话密钥加密通信。攻击者可通过提取NTLM哈希进行攻击,常用工具ProcDump可从LSASS内存中提取哈希,需注意误报风险。
🎯
关键要点
- NTLM(NT LAN Manager)是微软的安全协议,用于用户身份验证和加密。
- 尽管被视为过时,NTLM因兼容旧系统仍被广泛使用。
- NTLM通过存储密码哈希而非明文密码来增强安全性。
- NTLM采用挑战/响应机制进行身份验证,并生成会话密钥加密通信。
- 攻击者可通过提取NTLM哈希进行攻击,常用工具ProcDump可从LSASS内存中提取哈希。
- NTLM存储用户密码哈希、会话密钥和安全标识符(SIDs)以增强安全性。
- NTLM哈希提取通常发生在攻击者获得管理员权限后。
- LSASS进程内存和NTDS.dit文件是NTLM哈希的主要存储位置。
- 攻击者提取NTLM哈希后可进行传递哈希攻击,获取未经授权的访问。
- 使用ProcDump提取NTLM哈希的步骤包括执行procdump.exe并生成转储文件。
- SIEM和EDR可以用于检测ProcDump的使用,但可能会出现误报。
❓
延伸问答
NTLM是什么,它的主要功能是什么?
NTLM(NT LAN Manager)是微软的一套安全协议,主要用于用户身份验证和加密,增强网络资源访问的安全性。
NTLM如何增强安全性?
NTLM通过存储密码哈希而非明文密码,并采用挑战/响应机制进行身份验证,从而增强安全性。
攻击者如何提取NTLM哈希?
攻击者通常在获得管理员权限后,通过访问LSASS进程内存或NTDS.dit文件来提取NTLM哈希。
ProcDump工具在NTLM哈希提取中的作用是什么?
ProcDump是一个Windows原生工具,攻击者常用它来转储LSASS内存,从中提取NTLM哈希。
提取NTLM哈希后,攻击者可以做什么?
攻击者提取NTLM哈希后,可以进行传递哈希攻击,获取未经授权的访问权限。
如何检测ProcDump的使用?
可以通过SIEM和EDR工具检测ProcDump的使用,常见的检测查询包括监控进程名称和命令行参数。
➡️
