關(guān)于Ketshash

Ketshash是一款針對(duì)NTLM安全的分析與檢測(cè)工具，該工具可以幫助廣大研究人員基于事件查看器日志來(lái)分析和檢測(cè)可疑的特權(quán)NTLM連接，尤其是Pass-The-Hash攻擊。

該工具作為“Pass-The-Hash detection”研究的一部分，以完整開(kāi)源的形式發(fā)布給廣大研究人員使用。

該工具可以基于下列信息來(lái)實(shí)現(xiàn)其功能：

1、受監(jiān)控計(jì)算機(jī)上的安全事件日志（登錄事件）；

2、活動(dòng)目錄中的身份驗(yàn)證事件；

工具要求

該工具的使用要求用戶賬號(hào)擁有下列權(quán)限：

1、訪問(wèn)遠(yuǎn)程計(jì)算機(jī)的安全事件日志；

2、活動(dòng)目錄的讀取權(quán)限（標(biāo)準(zhǔn)域帳戶）；

3、計(jì)算機(jī)在同一時(shí)間同步，否則會(huì)影響結(jié)果；

4、至少安裝并配置好PowerShell 2.0；

工具下載

該工具是一個(gè)PowerShell腳本，因此我們只能在支持PowerShell 2.0+的設(shè)備上使用該工具。

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：

git clone https://github.com/cyberark/ketshash.git

工具使用

基礎(chǔ)使用

打開(kāi)PowerShell窗口，并運(yùn)行下列命令：

Import-Module .\Ketshash.ps1

或者，將Ketshash.ps1的內(nèi)容拷貝到PowerShell會(huì)話窗口中。

除此之外，也可以直接運(yùn)行下列命令來(lái)使用Ketshash：

Invoke-DetectPTH <arguments>

Ketshash Runner

1、確保Ketshash.ps1在KetshashRunner.exe的同一目錄下；

2、雙擊KetshashRunner.exe，根據(jù)需要修改設(shè)置，并點(diǎn)擊運(yùn)行；

Invoke-DetectPTH使用

參數(shù)解釋

Targetcomputers：要檢測(cè)NTLM連接的目標(biāo)計(jì)算機(jī)數(shù)組；

TargetComputersFile：包含要檢測(cè)NTLM連接的目標(biāo)計(jì)算機(jī)列表的文件路徑；

StartTime：檢測(cè)開(kāi)始的時(shí)間，默認(rèn)值為當(dāng)前時(shí)間；

UseKerberosCheck：檢查組織DC上的TGT\TGS登錄；

UseNewCredentialsCheck：檢查登錄類(lèi)型為9的登錄事件（如Mimikatz）。這是可選的，默認(rèn)算法已經(jīng)涵蓋了它。它的存在只是為了顯示另一個(gè)檢測(cè)可疑NTLM連接的選項(xiàng)。在Windows版本10和Server 2016上，應(yīng)在事件查看器中啟用“Microsoft Windows LSA/操作”。在Windows 10和Server 2016上，啟用“內(nèi)核對(duì)象審計(jì)”將提供更準(zhǔn)確的信息，例如寫(xiě)入LSASS；

LogFile：保存結(jié)果的日志文件路徑；

MaxHoursOfLegitLogonPriorToNTLMEvent：自NTLM事件發(fā)生后，需要多少小時(shí)才能向后查看并搜索合法登錄，默認(rèn)值為向后2小時(shí)；

使用樣例1（推薦）

Invoke-DetectPTH -TargetComputers "MARS-7" -LogFile "C:\tmp\log.txt"

使用樣例2

Invoke-DetectPTH -TargetComputers "ComputerName" -StartTime ([datetime]"2017-12-14 12:50:00 PM") -LogFile "C:\tmp\log.txt" -UseKerberosCheck -UseNewCredentialsCheck

工具調(diào)試

由于該工具使用線程工作，因此不太可能對(duì)主功能腳本塊進(jìn)行調(diào)試。但是我們可以在Detect-PTHMultithreaded之前使用Invoke-Command調(diào)試：

Invoke-Command -ScriptBlock $detectPTHScriptBlock -ArgumentList $TargetComputers, $startTime, $LogFile, $UseKerberosCheck, $UseNewCredentialsCheck, $MaxHoursOfLegitLogonPriorToNTLMEvent`

僅檢測(cè)一個(gè)目標(biāo)計(jì)算機(jī)：

Invoke-DetectPTH -TargetComputers "<computer_name>" ...

將$TargetComputer從[array]修改為[string]，這樣就可以在腳本塊中使用斷點(diǎn)來(lái)調(diào)試了。

工具使用演示

使用演示：【點(diǎn)我觀看】

許可證協(xié)議

本項(xiàng)目的開(kāi)發(fā)與發(fā)布遵循GPL-3.0開(kāi)源許可證協(xié)議。

項(xiàng)目地址

Ketshash：【GitHub傳送門(mén)】

參考資料

https://www.cyberark.com/threat-research-blog/detecting-pass-the-hash-with-windows-event-viewer

https://www.cyberark.com/resource/pass-hash-detection-using-windows-events/

http://lp.cyberark.com/rs/cyberarksoftware/images/wp-Labs-Pass-the-hash-research-01312018.pdf