憑據(jù)轉(zhuǎn)儲(chǔ)是網(wǎng)絡(luò)攻擊者用于獲取目標(biāo)網(wǎng)絡(luò)持久訪問權(quán)的一項(xiàng)重要技術(shù)。他們通過網(wǎng)絡(luò)釣魚的方式潛入目標(biāo)企業(yè)的網(wǎng)絡(luò)工作站中，然后利用管理員管理和監(jiān)視網(wǎng)絡(luò)的典型方法從操作系統(tǒng)和軟件中獲取帳戶登錄名和密碼信息，通常是哈?；蛎魑拿艽a形式的信息。進(jìn)行憑據(jù)轉(zhuǎn)儲(chǔ)后，攻擊者就可以使用這些憑據(jù)進(jìn)行橫向移動(dòng)及訪問受限信息。 

憑據(jù)對(duì)于攻擊者而言是如此重要，以致在許多情況下，獲取用戶名和密碼不僅是達(dá)到目的的手段，而且是攻擊的整個(gè)目標(biāo)。因此，在各種犯罪論壇上，憑據(jù)都是可出售的商品，并且有些網(wǎng)站可以追蹤公開的憑據(jù)轉(zhuǎn)儲(chǔ)情況。

可以說，任何企業(yè)組織都可能存在使他們?nèi)菀资艿綉{據(jù)轉(zhuǎn)儲(chǔ)攻擊影響的漏洞。以下是識(shí)別此類漏洞或限制這種風(fēng)險(xiǎn)的5種方法，希望可以幫助企業(yè)組織更好地防范憑據(jù)轉(zhuǎn)儲(chǔ)攻擊。

1. 限制憑據(jù)重用

根據(jù)《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，“憑據(jù)重用”仍然是攻擊者獲取權(quán)限或在內(nèi)網(wǎng)移動(dòng)的主要方式之一。這是有道理的，因?yàn)閷?duì)于攻擊者來說，用戶名和密碼并不難獲取。弱密碼、密碼重復(fù)使用和眾多的密碼公開泄露使得攻擊者能夠輕松找到入侵網(wǎng)絡(luò)的憑據(jù)。他們一旦進(jìn)入網(wǎng)絡(luò)，想要獲取更多的憑據(jù)就會(huì)變得更容易。此外，許多網(wǎng)絡(luò)釣魚攻擊也都在試圖獲取用戶憑據(jù)，然后將其用于獲取網(wǎng)絡(luò)權(quán)限的惡意活動(dòng)中。

這種情況下，我們應(yīng)該怎么做呢?首先，查看自己的網(wǎng)絡(luò)管理。查找陌生登錄地點(diǎn)。此外，在奇怪的時(shí)間登錄，或者同時(shí)有多人登錄也是異常現(xiàn)象。即使你無法在第一時(shí)間檢測(cè)到可疑登錄，但在事件響應(yīng)的時(shí)候，這些異常事件會(huì)讓你發(fā)現(xiàn)攻擊者進(jìn)入了網(wǎng)絡(luò)，此時(shí)，你可以在日志中查找可疑活動(dòng)并將其標(biāo)記，以便進(jìn)一步調(diào)查時(shí)使用。

NIST建議稱，企業(yè)組織應(yīng)該定期檢查自己的用戶密碼是否在公開的密碼數(shù)據(jù)庫(kù)中。如果在網(wǎng)絡(luò)上使用過的任何密碼信息出現(xiàn)在密碼泄露列表中，都會(huì)使您的網(wǎng)絡(luò)更容易受到攻擊影響。

Troy Hunt已經(jīng)發(fā)布了一個(gè)數(shù)據(jù)庫(kù)，其中包含超過5億個(gè)被盜用的密碼信息。您可以使用各種資源來將這些泄露的密碼與您自己網(wǎng)絡(luò)中使用的密碼進(jìn)行比較。例如，您可以使用密碼過濾器在Active Directory域上為Active Directory安裝Lithnet密碼保護(hù)(LPP)，以查看網(wǎng)絡(luò)上正在使用的密碼。然后使用組策略來自定義這些密碼的檢查。當(dāng)然，您可以選擇“拒絕”或“允許”這些操作。

2. 管理本地管理員密碼

企業(yè)組織必須清楚地明白管理本地管理員密碼的重要性。這些密碼在整個(gè)網(wǎng)絡(luò)中不應(yīng)該完全設(shè)置成一樣的。為了方便記憶，企業(yè)組織可以考慮部署本地管理員密碼解決方案(LAPS)。也可以安裝Lithnet LAPS Web應(yīng)用程序，該應(yīng)用程序提供了一個(gè)簡(jiǎn)單的基于Web的移動(dòng)友好型界面，用于訪問本地管理員密碼。

攻擊者們知道，一旦他們獲得了網(wǎng)絡(luò)內(nèi)部的訪問權(quán)限并獲取了本地管理員密碼不幸遺留的哈希值，他們便可以在整個(gè)網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)。擁有隨機(jī)分配的密碼意味著攻擊者將無法執(zhí)行這種橫向移動(dòng)。

3. 查看并審核NTLM的使用情況

如果您正在使用的是New Technology LAN Manager(NTLM)，那么攻擊者就可以使用NTLM哈希來訪問您的網(wǎng)絡(luò)。依靠LM或NTLM身份驗(yàn)證與任何通信協(xié)議(SMB、FTP、RPC、HTTP等)結(jié)合使用，會(huì)將您置于此類攻擊風(fēng)險(xiǎn)之中。只要您的企業(yè)內(nèi)部存在哪怕一臺(tái)脆弱設(shè)備，攻擊者也能夠見縫插針，趁虛而入。從Windows 7 / Windows Server 2008 R2開始，默認(rèn)情況下NTLMv1和LM身份驗(yàn)證協(xié)議是禁用的，但是現(xiàn)在，是時(shí)候重新檢查一下您的設(shè)置，以確保您已經(jīng)授權(quán)執(zhí)行了NTLMv2。您可以使用PowerShell查看網(wǎng)絡(luò)中NTLM的使用情況。

在組策略中，將值設(shè)置如下：

◆選擇“開始”。選擇“運(yùn)行”;

◆輸入GPedit.msc;

◆選擇“本地計(jì)算機(jī)策略”;

◆選擇“計(jì)算機(jī)配置”;

◆選擇“ Windows設(shè)置”;

◆選擇“安全設(shè)置”;

◆選擇“本地策略”;

◆選擇“安全選項(xiàng)”;

◆滾動(dòng)到策略“網(wǎng)絡(luò)安全：LAN Manager身份驗(yàn)證級(jí)別”;

◆右鍵單擊“屬性”;

◆選擇“僅發(fā)送NTLMv2響應(yīng)/拒絕LM和NTLM”;

◆單擊“確定”并確認(rèn)設(shè)置更改;

注冊(cè)表設(shè)置值如下：

◆打開regedit.exe并導(dǎo)航到HKLM \ System \ CurrentControlSet \ control \ LSA。單擊LSA。如果在右側(cè)窗格中看不到LMCompatibilityLevel，則可能需要添加新的注冊(cè)表項(xiàng)。選擇“編輯”。

◆選擇“新建”;

◆選擇“ REG_DWORD”;

◆將“New Value#1”替換為“ LMCompatibilityLevel”;

◆雙擊右側(cè)窗格中的LMCompatibilityLevel;

◆輸入“ 5”代表更改的級(jí)別。您可能需要升級(jí)打印機(jī)上的固件以支持網(wǎng)絡(luò)中的NTLMv2;

4. 管理“復(fù)制目錄更改”的訪問控制列表

攻擊者比我們更了解如何使用我們域中的賬戶。他們經(jīng)常會(huì)濫用Microsoft Exchange權(quán)限組。因此，您需要監(jiān)視域中關(guān)鍵功能對(duì)安全組和訪問控制列表(ACL)的更改。審核并監(jiān)視您域中ACL的任何更改。

當(dāng)攻擊者修改域?qū)ο蟮腁CL時(shí)，將創(chuàng)建一個(gè)ID為5136的事件。然后，您可以使用PowerShell腳本查詢Windows事件日志，以在日志中查找安全事件ID 5136：

然后，使用ConvertFrom-SDDL4，它能夠?qū)DDL字符串轉(zhuǎn)換為可讀性更高的ACL對(duì)象。Server 2016及更高版本提供了一個(gè)額外的審核事件，該事件記錄了原始和修改后的描述符。

5. 監(jiān)視與Isass.exe交互的異常進(jìn)程

最后，監(jiān)視lsass.exe進(jìn)程中的異常峰值。域控制器將lsass.exe進(jìn)程用作域事務(wù)的常規(guī)過程的一部分。拒絕服務(wù)(DoS)和惡意流量可能隱藏在這些進(jìn)程之中。確定域控制器中的正常狀態(tài)是監(jiān)視攻擊時(shí)間的關(guān)鍵。在域控制器上運(yùn)行Active Directory數(shù)據(jù)收集器，以你在網(wǎng)絡(luò)上看到的正常進(jìn)程做基線，監(jiān)視出現(xiàn)的異常進(jìn)程。

如果想要始終將攻擊者擋在門外，首先，我們要對(duì)自己的網(wǎng)絡(luò)及其資源使用情況有個(gè)良好的基本認(rèn)知。正所謂“知己知彼方能百戰(zhàn)不殆”，花一些時(shí)間來加深理解，才不至于每每讓攻擊者占據(jù)上風(fēng)。