Передача хэша (PtH) — это тип атаки кибербезопасности, при которой злоумышленник крадет «хэшированные» учетные данные пользователя и использует их для создания нового сеанса пользователя в той же сети. В отличие от других атак с кражей учетных данных, атака с передачей хэша не требует от злоумышленника знания или взлома пароля для получения доступа к системе. Вместо этого он использует сохраненную версию пароля для инициирования нового сеанса.
Что такое хэш пароля?
Хэш пароля — это односторонняя математическая функция, которая превращает пароль пользователя в текстовую строку, которую нельзя обратить или расшифровать, чтобы раскрыть фактический пароль. Проще говоря, пароли хранятся не в виде текста или символов, а в виде невзрачных хэш-символов.
Почему хэш-атаки вызывают растущую озабоченность?
По мере того, как все больше и больше организаций используют технологию единого входа (SSO) для обеспечения удаленной работы сотрудников и уменьшения трения в пользовательском интерфейсе, злоумышленники осознают неотъемлемую уязвимость сохраненных паролей и учетных данных пользователей.
Атаки на основе идентификации, такие как атаки с использованием хэш-функции, когда злоумышленники выдают себя за законных пользователей, особенно трудно обнаружить, поскольку большинство традиционных решений в области кибербезопасности не могут отличить реального пользователя от злоумышленника, маскирующегося под него.
Защита от атак с передачей хэша имеет решающее значение, поскольку этот метод часто служит воротами для других, более серьезных проблем безопасности, таких как утечка данных, кража личных данных и атаки вредоносных программ или программ-вымогателей.
Как проходит хэш-атака?
При хэш-атаке злоумышленник обычно получает доступ к сети с помощью метода социальной инженерии, такого как фишинг, когда киберпреступник использует эмоции другого человека, такие как страх, сочувствие или жадность, чтобы убедить его поделиться личной информацией или загрузить вредоносный файл.
Как только злоумышленник получает доступ к учетной записи пользователя, он использует различные инструменты и методы, которые очищают активную память для получения данных, которые приведут их к хэшам. Вооружившись одним или несколькими действительными хэшами паролей, злоумышленник получает полный доступ к системе, что позволяет перемещаться по сети в горизонтальном направлении.
Поскольку злоумышленник выдает себя за пользователя переходя из одного приложения в другое, он часто занимается сбором хэшей — накапливая дополнительные хэши по всей системе, которые можно использовать для доступа к большему количеству областей сети, добавления привилегий учетной записи, нацеливания на привилегированную учетную запись и настройки, организуя бэкдоры и другие шлюзы для обеспечения доступа в будущем.
Кто уязвим для хэш-атак?
Клиенты сервера Windows и организации, использующие Windows New Technology LAN Manager (NTLM), в частности, являются одними из наиболее уязвимых для хэш-атак.
NTLM — это набор протоколов безопасности Microsoft, которые аутентифицируют пользователей и защищают целостность и конфиденциальность их действий. По сути, NTLM — это инструмент единого входа, который опирается на протокол запроса-ответа для подтверждения пользователя, не требуя от него ввода пароля. Этот процесс известен как проверка подлинности NTLM.
NTLM был подвержен нескольким известным уязвимостям безопасности, связанным с хэшированием и добавлением соли. В NTLM пароли, хранящиеся на сервере и контроллере домена, не «солятся» — это означает, что к хэшированному паролю не добавляется случайная строка символов для дополнительной защиты от методов взлома. Это значит, что злоумышленникам, обладающим хэшем пароля, не нужен базовый пароль для аутентификации сеанса.
Криптография NTLM также не использует преимущества новых достижений в алгоритмах и шифровании, которые значительно повышают возможности безопасности. Хотя NTLM был заменен в качестве протокола проверки подлинности по умолчанию в Windows 2000 и последующих доменах Active Directory (AD) на Kerberos, он по-прежнему поддерживается во всех системах Windows в целях совместимости между более старыми клиентами и серверами.
Например, компьютеры, работающие под управлением Windows 95, Windows 98 или Windows NT 4.0, будут использовать протокол NTLM для сетевой аутентификации с доменом Windows 2000. Тем временем компьютеры под управлением Windows 2000 будут использовать NTLM при проверке подлинности серверов с Windows NT 4.0 или более ранней версии, а также при доступе к ресурсам в доменах Windows 2000 или более ранней версии. NTLM также используется для аутентификации локальных входов в систему с контроллерами, не входящими в домен.
Пример атаки Pass-the-Hash
В апреле 2022 года платформа программы-вымогателя как услуги (RaaS) использовала метод передачи хэша для продвижения скоординированной атаки, нацеленной на большое количество клиентов Microsoft Exchange Server, в том числе в сфере энергетики, финансовых услуг, некоммерческого сектора и здравоохранения.
Атака использовала особую уязвимость Microsoft Exchange Server, известную как ProxyShell. Хотя Microsoft быстро исправила эту уязвимость, многие предприятия не обновили свое программное обеспечение и остались незащищенными.
Злоумышленники воспользовались уязвимостью ProxyShell, чтобы внедрить бэкдор-скрипт, который использовался для запуска вредоносного кода на сервере Exchange. Затем злоумышленники получили контроль над системой с помощью техники передачи хэша, используя инструмент для кражи хэша NTLM. Затем хакеры провели разведку на сервере, собрали данные и развернули полезную нагрузку программы-вымогателя.
Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.