T1550.002
Pass the Hash
Pass the Hashتوضیحات
مهاجمان از hash رمز عبور NTLM برای احراز هویت بدون دانستن رمز عبور واقعی استفاده میکنند. با استفاده از ابزارهایی مانند Mimikatz و Impacket، مهاجمان میتوانند hashهای سرقت شده را برای دسترسی به سیستمهای دیگر استفاده کنند.
روشهای شناسایی
نظارت بر احراز هویت NTLM. شناسایی ورودهای با نوع Logon 3 بدون Kerberos. بررسی استفاده از ابزارهای Pass-the-Hash. تحلیل لاگهای احراز هویت.
روشهای مقابله
استفاده از Windows Defender Credential Guard. پیادهسازی Protected Users group. غیرفعال کردن NTLM. استفاده از MFA. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
T1550Use Alternate Authentication Material
استفاده از مواد احراز هویت جایگزین
مهاجمان از مواد احراز هویت جایگزین مانند hash رمز عبور، Kerberos ticket، application access token و web session cookie برای حرکت جانبی و دور زدن کنترلهای دسترسی استفاده میکنند.
سایر زیرتکنیکها (1)