کشف Pass-The-Hash با کمک لاگ ها
در این مقاله به Pass-The-Hash میپردازیم که هکر با استفاده از آن تلاش میکند بین هاست ها حرکت کند . این حرکت با استفاده از پروتکل NTLM و بدون نیاز به پسورد کاربر انجام میگیرد.ابزاری که در این مقاله معرفی میگردد بنام (Ketshash) کمک موثری در کشف PTH است در این مثال به بحث Over-Pass-The-Hash (OPTH)نمیپردازیم
تعیین هویت بدون پسورد :
در هشی که مایکروسافت درویندوز استفاده میکند SALT وجود ندارد لذا تمام پسورد های یکسان که با پروتکل NTLM هش میشوند دارای هش یکسان است لذا اگر از روی هش یک کاربر به پسورد آن برسیم (برای مثال از طریق Rainbow Table ) پسورد تمام کاربرانی که هش آنها مشابه هش کشف شده است را داریم .
هنگام انجام تعیین هویت با NTLM شماره رویداد 4624با لاگین تایپ 3 و Authentication Package NTLM (or by logon process name NtLmSsp)
در لاگ میافتد
شکل زیر
هنگام استفاده از روش PTH دو راهکار مد نظر است :
تزریق هش پسوردی که داریم در LSAS.exe و بازکردن یک سشن با هش تزریق شده
استفاده از قسمتی از پروتکل NTLM برای تعیین هویت با هش و ارسال دستور روی شبکه با پروتکلی نظیر SMB یا WMI
هرگاه استفاده از پسورد قبل از ارتباط NTLM را دیدید به آن کاری نداشته باشید
کانکشن های بی مشکل عبارتند از :
4768 – A Kerberos authentication ticket (TGT) was requested
4769 – A Kerberos service ticket (TGS) was requested
4648 – A logon was attempted using explicit credentials
4624 – An account was successfully logged on
Logon types: 2 (Interactive), 7 (Unlock), 10 (RemoteInteractive) or 11 (CachedInteractive).
به کدام ارتباطات NTLM شک کنیم :
هرگاه یک سشن با اکانت غیر قدرتمند از طریق ارتباط NTLM ساخته شده بود
با کمک از این ابزار ، عملیات جستجو در لاگ ها برای یافتن ترتیبی که در فوق شرح داده شد را تسریع میبخشیم
https://github.com/cyberark/ketshash