计算机试图验证账号的凭证,如何检测Pass-the-Hash攻击?

最新推荐文章于 2025-04-23 16:56:53 发布
转载 最新推荐文章于 2025-04-23 16:56:53 发布 · 1k 阅读 · 1
文章标签:

#计算机试图验证账号的凭证

本文介绍了如何通过Windows事件日志检测Pass-the-Hash攻击。正常NTLM登录和Pass-the-Hash攻击之间的日志差异,如登录类型9和Logon Process 'seclogo',可用于创建检测策略。此外,使用Sysmon监控LSASS进程访问也是有效的检测方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原标题:如何检测Pass-the-Hash攻击?

横向渗透技术是攻击者用来渗透目标网络,获取凭据和数据特权访问的最常见方法之一。在最近发现的勒索软件(如Samsam和Ryuk)中,就说明了这一点。

最近我们研究了如何通过蜜罐检测攻击,在研究检测此类攻击的最有效方法时,我发现了其它几种有趣的方法。我认为非常有必要对它们进行测试,并进一步的研究pass-the-hash行为。

本文我将教大家如何使用本机Windows事件日志检测pass-the-hash,以及一些关于如何实现的实用建议。在这里我不会讨论有关什么是pass-the-hash的问题,如果你愿意你可以。

基线正常事件

Pass-the-Hash依赖于NTLM身份验证。为了可靠地创建NTLM身份验证,我使用Sqlcmd实用程序通过其IP地址连接到Microsoft服务器。此命令将为SQL数据库生成NTLM身份验证:

Sqlcmd –S [IP ADDRESS]

在查看如何检测pass-the-hash攻击之前,让我们先来获取执行NTLM登录活动时通常会生成的事件基线。要从我的PC工作站执行此操作,我将首先使用管理用户的实际密码启动一个新的命令提示符:

095bada976e3ad4ba7e70ecb1db3d42a.png

现在,在新的命令提示符下,我将使用Sqlcmd连接到SQL主机,并运行SELECT SYSTEM_USER命令查看我被认证为的用户:

e3a01bc61c0bd41dcd35cbcadbab5d44.png

很好,一切正常!现在让我们看看生成的日志。

工作站日志

在我的本地工作站上我看到以下事件。

4648事件:试图使用显式凭据登录(A logon was attempted usingexplicit credentials)

e08545b253011c60220032d07917a23c.png

4624事件:成功登录帐户(An account was successfully logged on)

4624事件显示登录类型为2,这意味着交互式登录。这符合我使用runas的方式,我以交互方式输入凭据。

最低0.47元/天 解锁文章

200万优质内容无限畅学
22、网络安全攻击类型与风险管理策略解析
tech5的博客
07-14 10
本文详细解析了常见的网络安全攻击类型,包括蓝牙攻击、会话劫持、域名劫持、加密攻击等,并深入探讨了风险管理的基础概念、策略和实施流程。通过技术与管理双重角度,提供了全面的防护措施,旨在帮助个人和企业提升信息安全水平,有效应对日益复杂的网络威胁。
事件4624是登录成功!?!真的如此吗?
Sumarua的博客
07-08 8478
当我们看到事件id为4624时,第一时间就会想到是攻击者登录成功了,但事实真的如此吗?让我们深入探究
计算机安全凭据,4776 (S、F) 计算机尝试验证帐户凭据。 (Windows 10) - Windows security | Microsoft Docs...
weixin_42202605的博客
07-20 2244
4776 (S、F) :计算机尝试验证帐户凭据。04/19/2017本文内容适用范围Windows 10Windows Server 2016事件说明:每次使用 NTLM 身份验证验证凭据时,都会生成此事件。此事件仅在提供凭据的权威计算机上发生。 对于域帐户,域控制器是权威的。 对于本地帐户,本地计算机具有权威性。它显示成功和失败的凭据验证尝试。它只显示源工作站 (计算机) 尝试从源 (身份验证...
计算机试图验证账号凭证,WindowsServer2008无法远程登录
weixin_39616071的博客
08-01 1651
一台笔记本,一台台式机,台式机用远程桌面登录笔记本。前几天都好好的,今天忽然不行了。现象是连接上之后立即断开(没有出现远程桌面)。查看笔记本的日志,登录事件之后立即出现一个注销事件。自己远程自己也不行。下面是日志内容。计算机名等信息为了安全我修改过了。跪拜求教啊~日志名称: Security来源: Microsoft-Windows-Security-Auditing日期: 2012/9/28 1...
当前用户本地计算机,验证本地计算机上的用户凭据(Validate a users credentials on the...
weixin_29085151的博客
06-24 322
我有一个需要基于用户名和密码的用户,除了进行验证,以检查用户是否属于该组WSMA Windows服务(运行作为本地系统用户)。 我当前的代码是这样的:var pc = new PrincipalContext(ContextType.Machine);using (pc){try{if (pc.ValidateCredentials(username, password)){using (var...
(crm笔记2-5)用户登录问题之验证账户
灰羽
10-06 2063
用户登录问题之验证账户       1、需求      先看一下我们的登录页面       我们需要做的是,将用户名、密码、验证码 传入到后台,在后台进行账户验证是否是数据库中的合法用户。如果是,进入menu.jsp页面,否者,重新回到登录页面。并提示用户名,密码,验证码等出错信息。 2、实现思路      1)区分验证信息的前后关系,首先验证的是 验证码,其实是用户名和密码。
域渗透之Pass-the-hash
ToyCarryYou的博客
04-24 1243
域渗透 什么是AD域 AD的全称是Active Directory(活动目录) 是指windows服务器操作系统中的目录服务,它被包含在大多数windows sever操作系统中,负责集中式域管理及身份认证。AD域中是每个Windows域网络的基石。他负责存储域成员(包括设备和用户)的信息,验证凭据并定义访问权限。运行此服务的服务器称为域控制器。AD域架构的常用对象包括以下四种 1.**组织单位...
mimikatz 2.2.0版本支持RDP-PTH验证
其最新版本为2.2.0,特别强调了对远程桌面协议(RDP)进行密码哈希传递攻击Pass-the-Hash)时的兼容性和验证支持。RDP-PTH是一种攻击技术,通过这种方式,攻击者可以在不直接解密密码的情况下获得系统的访问权限。...
CTF-Anubis HackTheBox 渗透测试(二)
hongrisec的博客
10-19 940
大家好,我是你们好朋友小峰。预计从今天开始,陆陆续续为大家推出 CTF-Horizontall HackTheBox 系列文章。
渗透测试 ( 4 ) --- Meterpreter 命令详解
墨鱼菜鸡
07-11 4260
From:https://blog.youkuaiyun.com/weixin_45605352/article/details/115824811 <<Web 安全攻防(渗透测试实战指南)>> 1、初识 Meterpreter 1.1.什么是 Meterpreter   Meterpreter 是 Metasploit 框架中的一...
(解决)电脑账户进不去被停用,PIN无法验证,如何进入电脑安全模式
热门推荐
北海_南风
01-31 1万+
出现输入PIN后显示:“无法验证你的凭证” 改换输入密码后显示:“你的账户已被停用,请向系统管理员咨询” 不要慌,只是你的网络用户管理员活动被禁止了。这个时候, 进入安全模式: 在登录输入密码页面的右下角有个电源选项,长按shift,然后选择重启(shift键不要松开),直到出现蓝色主题的屏幕选项(shift键可以松开了),选择“疑难解答”----》“启动设置”—》“重启”。在重启的过程中狂按F4,进入安全模式(背景为黑色,四个角落写着“安全模式”),在安全模式里面打开cmd(命令窗口,win+r键后输入c
如何禁止客户端机器使用凭据远程登录
坚持初心,方得始终
07-21 911
1、打开: 本地计算机策略  ---- windows 设置 -------  安全设置  ------- 本地策略 ----- 安全选项  2、选中 ”帐户: 使用空白密码的本地帐户只允许进行控制台登录“   3、配置为 “禁止” 即可 以上基于 windows service 2008 标准版本
内网渗透PTH(pass-the-hash)
https://www.cnblogs.com/zpchcbd/
09-11 1772
pass-the-hash在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。 pass the hash原理: 在Windows系统中,通常会使用NTLM身份认证,NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser) ,其中hash(哈希)分为...
WindowsServer2003安全事件ID分析
woamily的专栏
06-21 1232
WindowsServer2003安全事件ID分析根据下面的ID,可以帮助我们快速识别由 Microsoft? Windows Server 2003 操作系统生成的安全事件,究竟意味着什么事件出现了。 一、帐户登录事件 下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 672:已成功颁发和验证身份验证服务 (AS) 票证。 673:授权票证服务 (TGS
Windows+Linux应急响应(详细基础)
weixin_66146598的博客
06-12 2323
“应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
Windows登录日志详解
weixin_33901641的博客
10-07 5288
2019独角兽企业重金招聘Python工程师标准>>> ...
精准识别违规登录:Windows事件ID 4624全维度分析手册
最新发布
Liu_Bruce的博客
04-23 1038
表示成功登录,但需结合其他信息判断是否为违规登录。通过以上多维度的交叉验证,可以更准确地判断4624事件是否违规。在Windows安全日志中,事件ID。,需结合上下文行为分析。
日志中的秘密:Windows登录类型知多少?
Vincent.woo(文子)
06-06 1449
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻
不重启操作系统启用Authentication Package的方法
ayang1986的专栏
10-24 841
调用 AddSecurityPackage API函数可以使 lsass.exe 进程加载指定的AP secur32.dll, sspicli.dll均导出该函数 #include &lt;Sspi.h&gt; SECURITY_PACKAGE_OPTIONS option; option.Size = sizeof(option); option.Flags = 0; option.Ty...
掌握Pass-the-Hash攻击与防护技术
- **pass-the-hash-attacks-tools-mitigation_33283**:这个文件包含了攻击工具和减轻策略。工具部分很可能是用于执行Pass-the-Hash攻击的脚本或软件,而减轻策略则可能包含了如何防范此类攻击的建议和方法。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值