Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Атака Pass the hash один з видів атаки повторного відтворення Вона дозволяє атакуючому авторизуватися на віддаленому сер

Атака Pass-the-hash

Атака Pass-the-hash

Атака Pass-the-hash — один з видів атаки повторного відтворення. Вона дозволяє атакуючому авторизуватися на віддаленому сервері, автентифікація на якому здійснюється з використанням протоколу NTLM або .

Цей метод може бути використаний проти будь-якого сервера/сервіса, що використовує протокол автентифікації NTLM або LM, не залежно від операційної системи на комп'ютері жертви.

Опис

В системах, що використовують протокол аутентификації NTLM, паролі ніколи не передаються по каналу зв'язку у відкритому вигляді. Замість цього вони передаються відповідній системі (такій, як контролер домену) у вигляді хешів на етапі відповіді в схемі .

Додатки Windows запитують у користувача пароль у відкритому вигляді, а потім викликають API (наприклад, LsaLogonUser), які перетворюють пароль в LM хеш і NTLM хеш і передають їх в процесі автентифікації. Аналіз протоколів показав, що для успішної автентифікації не обов'язково знати пароль у відкритому вигляді, замість цього може використовуватися тільки його хеш.

Після отримання яким-небудь чином пар {ім'я користувача — хеш пароля користувача}, криптоаналітик отримує можливість використовувати цю пару для виконання атаки по іншим каналам та автентифікації на віддаленому сервері під виглядом користувача. При використанні даної атаки відпадає необхідність повного перебору значень хеш-функції для знаходження пароля у відкритому вигляді.

В основі атаки лежить слабкість в реалізації протоколу мережевої автентифікації. Вона полягає в тому, що хеші паролів передаються без використання солі, а тому залишаються незмінними від сесії до сесії (до тих пір, поки не змінюється пароль користувача). Іншими словами, для атакуючого хеші паролів еквівалентні самим паролям.

Історія

Атака pass the hash спочатку була опублікована Полом Ештоном в 1997 році. В основі цієї атаки лежала можливість пройти автентифікацію на Samba SMB клієнта з використанням хешу пароля користувача. При цьому клієнт не вимагав пароля у відкритому вигляді (Наступні версії Samba та деякі сторонні реалізації SMB і NTLM протоколів також підтримували цю функціональність).

Оскільки цей спосіб атаки ґрунтувався на сторонній реалізації Samba SMB клієнта, він був схильний до деяких серйозних обмежень з точки зору перспективності використання. Так як протокол SMB продовжував розвиватися з плином часу, сторонні розробники були змушені підтримувати зміни і доповнення, що вносяться в протокол в нових версіях Windows/SMB (історично це здійснювалося за допомогою методу зворотньої розробки). Це означає, що навіть після успішної NTLM-автентифікації з використанням атаки pass the hash, деякі Samba SMB клієнти могли не підтримувати необхідний криптоаналітику функціонал.

Також через застосування в атаці сторонньої реалізації Samba SMB клієнта, було неможливо використовувати вбудовані програми Windows, такі як Net.exe або Active Directory Users and Computers, оскільки для автентифікації вони запитували у атакуючого/користувача пароль у відкритому вигляді, а не брали хеш.

У 2007 Фернан Очоа опублікував програму «Pass the Hash Toolkit». З її допомогою можна було під час роботи системи змінити ім'я користувача, доменне ім'я і хеш пароля, занесені в кеш сервером автентифікації локальної системи безпеки після автентифікації користувача. Завдяки цьому ставало можливим виконати атаку pass the hash з використанням стандартних засобів Windows, і, таким чином, обійти вбудовані в систему засоби перевірки автентифікації.

Додаток також надавав нову техніку атаки, яка дозволяла отримати хеші паролів, що зберігаються в кеш-пам'яті процесу lsass.exe. Дана техніка незабаром стала широко використовуватися для проведення випробувань на проникнення і атак.

Цей метод збору хешів паролів перевершує ті що використовувалися раніше (наприклад, витяг хешів з локальної бази даних SAM з використанням pwdump або аналогічних програм), оскільки дозволяє витягти з оперативної пам'яті ім'я користувача/доменне ім'я/хеш пароля користувачів домену (і адміністраторів домену) авторизованих в системі.

Цей метод, наприклад, дозволяє отримати хеші паролів авторизованих користувачів домену, які не зберігаються на жорсткому диску. Завдяки цьому стає можливим скомпрометувати весь домен Windows NT після компрометації одного учасника цього домену. Більш того, атака може бути виконана відразу, без необхідності проводити ресурсозатратну підготовку методом повного перебору.

Згодом програма була замінена додатком «Windows Credential Editor», який розширяв вихідну функціональність і додавав підтримку нових операційних систем. Деякі антивіруси сприймають цю програму як шкідливу програму.

Збір хешів

Перш ніж атака pass the hash може бути здійснена, необхідно отримати хеші паролів, що відповідають цільовим акаунтів. З цією метою атакуючий може наступні методи збору хешів:

  • Кешовані хеші паролів користувачів, які пройшли автентифікацію в системі, можуть бути прочитані з бази даних SAM будь-яким користувачем з правами адміністратора або за допомогою різних утиліт (наприклад, pwdump). Адміністратор може заборонити кешування хешів паролів, так що даний метод працює не завжди.
  • Зчитування хешів з локальної бази даних SAM. Оскільки ця база даних містить відомості тільки про локальних користувачів, при використанні домену криптоаналітик не зможе пройти автентифікацію в інших сервісах цього домену. Однак якщо локальний пароль адміністратора використовується в інших системах домену, атакуючий отримує можливість використовувати хеш-кодування локального облікового запису для віддаленого доступу до таких систем.
  • Аналіз трафіку між сервером і клієнтом при . Оскільки отримані хеші зашифровані, необхідно виконати повний перебір для отримання хешів паролів.
  • Витяг хешів, збережених системою в пам'яті процесу lsass.exe. Хеші, отримані таким методом, можуть належати користувачам / адміністраторам домену (які, наприклад, увійшли в систему через RDP). Таким чином, цей метод може бути використаний для компрометації всього домену.

Заходи протидії

Будь-яка система, що використовує NTLM/LM протокол автентифікації у поєднанні з будь-яким протоколом зв'язку (SMB, FTP, RPC, HTTP та інші), піддана атаці pass the hash. Від даної атаки важко захиститися, оскільки існують численні експлойти для Windows, що дозволяють атакуючому отримати права адміністратора і здійснити збір хешів. Більш того, компрометація всього домену Windows може бути здійснена з використанням одного учасника цього домену. Численні програми для проведення випробувань на проникнення можуть бути використані для автоматичного пошуку вразливостей в системі.

Для захисту від атаки pass the hash застосовується метод комплексного захисту: використання міжмережевого екрану, системи запобігання вторгнень, IPsec, антивірусних програм, повне шифрування диска, автентифікація з використанням стандарту IEEE 802.1 X, зменшення числа користувачів з правами адміністратора, своєчасна установка оновленню безпеки. Заборона системі Windows на кешування хешів паролів може перешкодити атакуючому витягти ці значення з пам'яті. На практиці це означає можливість проведення атаки тільки після входу жертви в систему.

У сценарії атаки на хеші паролів адміністраторів домену може використовуватися можливість проходження ними автентифікації в скомпрометованій системі. Дозвіл адміністраторів домену проходити автентифікацію тільки в надійних серверах автентифікації локальної системи безпеки звужує вектор атаки.

Принцип мінімальних привілеїв передбачає надання користувачеві мінімально необхідних прав доступу для виконання будь-яких операцій. Заборону на використання в системі протоколу NTLM-аутентифікації/LM може підвищити захищеність системи, хоча протокол Kerberos також схильний до даної атаки. Заборону на використання зневаджувача може перешкодити атакуючому отримати хеш з пам'яті процесів.[32]

Режим обмеженого адміністрування, доданий в Windows в 2014 році в оновленні системи безпеки, розроблений для зниження ефективності даного методу атаки.

Примітки

  1. Hummel: Why Crack When You Can Pass the Hash?, 2009.
  2. Microsoft: LsaLogonUser, 2011.
  3. Todorov: Mechanics of User Identification and Authentication: Fundamentals of Identity Management, 2007, с. 233.
  4. Microsoft: How Interactive Logon Works, 2009.
  5. Stirnimann: Windows Attack — Gain Enterprise Admin Privileges in 5 Minutes, 2010, с. 24.
  6. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 26.
  7. Stirnimann: Windows Attack — Gain Enterprise Admin Privileges in 5 Minutes, 2010, с. 9.
  8. Ochoa: Pass-The-Hash Toolkit for Windows, 2008, с. 11.
  9. Core Security Technologies: Pass-The-Hash Toolkit, 2007.
  10. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 12—13.
  11. Core Security Technologies: Pass-The-Hash Toolkit, 2007, WHOSTHERE.EXE/WHOSTHERE-ALT.EXE.
  12. Ochoa: WCE Internals, 2011, с. 3—6.
  13. Ochoa: Windows Credentials Editor (WCE) F.A.Q., 2011.
  14. Symantec: SecurityRisk.WinCredEd, 2011.
  15. Microsoft: HackTool:Win32/Wincred.A, 2011.
  16. Hummel: Why Crack When You Can Pass the Hash?, 2009, с. 8—9, 3.3. Dump the hash locally.
  17. Hummel: Why Crack When You Can Pass the Hash?, 2009, с. 8, 3.3. Dump the hash locally.
  18. Hummel: Why Crack When You Can Pass the Hash?, 2009, с. 8, 3.2. Sniff the LM hash off the network.
  19. Hummel: Why Crack When You Can Pass the Hash?, 2009, с. 10, 3.5. Dump and analyze the contents of memory.
  20. Hummel: Why Crack When You Can Pass the Hash?, 2009, с. 20, 5.1. What systems are at risk?.
  21. Hummel: Why Crack When You Can Pass the Hash?, 2009, с. 20, 5.2. What services are at risk?.
  22. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 26, 3.5. Part 2 – Defense - Pass-the-hash Mitigation.
  23. Kraus, Barber, Borkin, Alpern: Seven Deadliest Microsoft Attacks, 2010, с. 17, Defense-in-Depth Approach.
  24. Grimes: Stop pass-the-hash attacks before they begin, 2011.
  25. Kraus, Barber, Borkin, Alpern: Seven Deadliest Microsoft Attacks, 2010, с. 14.
  26. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 30, 3.5.4. Limit Cached Credentials.
  27. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 26, 3.5.1. Sensitive Systems Isolation.
  28. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 27, 3.5.2. Enforce Least User Access (LUA).
  29. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 28, 3.5.3. Avoid LM and NTLM challenge-response.
  30. securityfocus: Microsoft Windows Kerberos 'Pass The Ticket' Replay Security Bypass Vulnerability, 2010.
  31. Malgherini, Focardi: Attacking and fixing the Microsoft Windows Kerberos login service, 2010, с. 8—10, 3.3 Pass-the-ticket Attack.
  32. Ewaida: Pass-the-hash attacks: Tools and Mitigation, 2010, с. 30, 3.5.5. Disable "Debug Programs" User Right.
  33. Microsoft: Советы по безопасности (Microsoft) (2871997), 2014.
  1. Іноді Windows за замовчуванням може використовувати протокол автентификації Kerberos.

Література

Книги
  • Kraus R., Barber B., Borkin M., Alpern N.. Seven Deadliest Microsoft Attacks. — Syngress, 2010. — .
  • Todorov D.. Mechanics of User Identification and Authentication: Fundamentals of Identity Management. — CRC Press, 2007. — .
Статті
  • Hummel C.. Why Crack When You Can Pass the Hash?. — SANS Institute, 2009.
  • Stirnimann D.. Windows Attack — Gain Enterprise Admin Privileges in 5 Minutes. — Compass Security AG, 2010.
  • Ochoa H.. Pass-The-Hash Toolkit for Windows. — Core Security Technologies, 2008.
  • Ochoa H.. WCE Internals. — RootedCON, 2011.
  • Ochoa H.. Windows Credentials Editor (WCE) F.A.Q.. — Amplia Security, 2011.
  • Ewaida B.. Pass-the-hash attacks: Tools and Mitigation. — SANS Institute, 2010.
  • Grimes R.. Stop pass-the-hash attacks before they begin. — Infoworld, 2011.
  • Malgherini T., Focardi R.. Attacking and fixing the Microsoft Windows Kerberos login service. — Universit`a Ca’ Foscari, 2010.
Сайти
  • LsaLogonUser. — Microsoft, 2011.
  • How Interactive Logon Works. — Microsoft, 2009.
  • Pass-The-Hash Toolkit. — Core Security Technologies, 2007.
  • SecurityRisk.WinCredEd. — Symantec, 2011.
  • HackTool:Win32/Wincred.A. — Microsoft, 2011.
  • Microsoft Windows Kerberos 'Pass The Ticket' Replay Security Bypass Vulnerability. — securityfocus.com, 2010.
  • Поради з безпеки (Microsoft) (2871997). — Microsoft, 2014.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Ataka Pass the hash odin z vidiv ataki povtornogo vidtvorennya Vona dozvolyaye atakuyuchomu avtorizuvatisya na viddalenomu serveri avtentifikaciya na yakomu zdijsnyuyetsya z vikoristannyam protokolu NTLM abo Cej metod mozhe buti vikoristanij proti bud yakogo servera servisa sho vikoristovuye protokol avtentifikaciyi NTLM abo LM ne zalezhno vid operacijnoyi sistemi na komp yuteri zhertvi OpisV sistemah sho vikoristovuyut protokol autentifikaciyi NTLM paroli nikoli ne peredayutsya po kanalu zv yazku u vidkritomu viglyadi Zamist cogo voni peredayutsya vidpovidnij sistemi takij yak kontroler domenu u viglyadi heshiv na etapi vidpovidi v shemi Dodatki Windows zapituyut u koristuvacha parol u vidkritomu viglyadi a potim viklikayut API napriklad LsaLogonUser yaki peretvoryuyut parol v LM hesh i NTLM hesh i peredayut yih v procesi avtentifikaciyi Analiz protokoliv pokazav sho dlya uspishnoyi avtentifikaciyi ne obov yazkovo znati parol u vidkritomu viglyadi zamist cogo mozhe vikoristovuvatisya tilki jogo hesh Pislya otrimannya yakim nebud chinom par im ya koristuvacha hesh parolya koristuvacha kriptoanalitik otrimuye mozhlivist vikoristovuvati cyu paru dlya vikonannya ataki po inshim kanalam ta avtentifikaciyi na viddalenomu serveri pid viglyadom koristuvacha Pri vikoristanni danoyi ataki vidpadaye neobhidnist povnogo pereboru znachen hesh funkciyi dlya znahodzhennya parolya u vidkritomu viglyadi V osnovi ataki lezhit slabkist v realizaciyi protokolu merezhevoyi avtentifikaciyi Vona polyagaye v tomu sho heshi paroliv peredayutsya bez vikoristannya soli a tomu zalishayutsya nezminnimi vid sesiyi do sesiyi do tih pir poki ne zminyuyetsya parol koristuvacha Inshimi slovami dlya atakuyuchogo heshi paroliv ekvivalentni samim parolyam IstoriyaAtaka pass the hash spochatku bula opublikovana Polom Eshtonom v 1997 roci V osnovi ciyeyi ataki lezhala mozhlivist projti avtentifikaciyu na Samba SMB kliyenta z vikoristannyam heshu parolya koristuvacha Pri comu kliyent ne vimagav parolya u vidkritomu viglyadi Nastupni versiyi Samba ta deyaki storonni realizaciyi SMB i NTLM protokoliv takozh pidtrimuvali cyu funkcionalnist Oskilki cej sposib ataki gruntuvavsya na storonnij realizaciyi Samba SMB kliyenta vin buv shilnij do deyakih serjoznih obmezhen z tochki zoru perspektivnosti vikoristannya Tak yak protokol SMB prodovzhuvav rozvivatisya z plinom chasu storonni rozrobniki buli zmusheni pidtrimuvati zmini i dopovnennya sho vnosyatsya v protokol v novih versiyah Windows SMB istorichno ce zdijsnyuvalosya za dopomogoyu metodu zvorotnoyi rozrobki Ce oznachaye sho navit pislya uspishnoyi NTLM avtentifikaciyi z vikoristannyam ataki pass the hash deyaki Samba SMB kliyenti mogli ne pidtrimuvati neobhidnij kriptoanalitiku funkcional Takozh cherez zastosuvannya v ataci storonnoyi realizaciyi Samba SMB kliyenta bulo nemozhlivo vikoristovuvati vbudovani programi Windows taki yak Net exe abo Active Directory Users and Computers oskilki dlya avtentifikaciyi voni zapituvali u atakuyuchogo koristuvacha parol u vidkritomu viglyadi a ne brali hesh U 2007 Fernan Ochoa opublikuvav programu Pass the Hash Toolkit Z yiyi dopomogoyu mozhna bulo pid chas roboti sistemi zminiti im ya koristuvacha domenne im ya i hesh parolya zaneseni v kesh serverom avtentifikaciyi lokalnoyi sistemi bezpeki pislya avtentifikaciyi koristuvacha Zavdyaki comu stavalo mozhlivim vikonati ataku pass the hash z vikoristannyam standartnih zasobiv Windows i takim chinom obijti vbudovani v sistemu zasobi perevirki avtentifikaciyi Dodatok takozh nadavav novu tehniku ataki yaka dozvolyala otrimati heshi paroliv sho zberigayutsya v kesh pam yati procesu lsass exe Dana tehnika nezabarom stala shiroko vikoristovuvatisya dlya provedennya viprobuvan na proniknennya i atak Cej metod zboru heshiv paroliv perevershuye ti sho vikoristovuvalisya ranishe napriklad vityag heshiv z lokalnoyi bazi danih SAM z vikoristannyam pwdump abo analogichnih program oskilki dozvolyaye vityagti z operativnoyi pam yati im ya koristuvacha domenne im ya hesh parolya koristuvachiv domenu i administratoriv domenu avtorizovanih v sistemi Cej metod napriklad dozvolyaye otrimati heshi paroliv avtorizovanih koristuvachiv domenu yaki ne zberigayutsya na zhorstkomu disku Zavdyaki comu staye mozhlivim skomprometuvati ves domen Windows NT pislya komprometaciyi odnogo uchasnika cogo domenu Bilsh togo ataka mozhe buti vikonana vidrazu bez neobhidnosti provoditi resursozatratnu pidgotovku metodom povnogo pereboru Zgodom programa bula zaminena dodatkom Windows Credential Editor yakij rozshiryav vihidnu funkcionalnist i dodavav pidtrimku novih operacijnih sistem Deyaki antivirusi sprijmayut cyu programu yak shkidlivu programu Zbir heshivPersh nizh ataka pass the hash mozhe buti zdijsnena neobhidno otrimati heshi paroliv sho vidpovidayut cilovim akauntiv Z ciyeyu metoyu atakuyuchij mozhe nastupni metodi zboru heshiv Keshovani heshi paroliv koristuvachiv yaki projshli avtentifikaciyu v sistemi mozhut buti prochitani z bazi danih SAM bud yakim koristuvachem z pravami administratora abo za dopomogoyu riznih utilit napriklad pwdump Administrator mozhe zaboroniti keshuvannya heshiv paroliv tak sho danij metod pracyuye ne zavzhdi Zchituvannya heshiv z lokalnoyi bazi danih SAM Oskilki cya baza danih mistit vidomosti tilki pro lokalnih koristuvachiv pri vikoristanni domenu kriptoanalitik ne zmozhe projti avtentifikaciyu v inshih servisah cogo domenu Odnak yaksho lokalnij parol administratora vikoristovuyetsya v inshih sistemah domenu atakuyuchij otrimuye mozhlivist vikoristovuvati hesh koduvannya lokalnogo oblikovogo zapisu dlya viddalenogo dostupu do takih sistem Analiz trafiku mizh serverom i kliyentom pri Oskilki otrimani heshi zashifrovani neobhidno vikonati povnij perebir dlya otrimannya heshiv paroliv Vityag heshiv zberezhenih sistemoyu v pam yati procesu lsass exe Heshi otrimani takim metodom mozhut nalezhati koristuvacham administratoram domenu yaki napriklad uvijshli v sistemu cherez RDP Takim chinom cej metod mozhe buti vikoristanij dlya komprometaciyi vsogo domenu Zahodi protidiyiBud yaka sistema sho vikoristovuye NTLM LM protokol avtentifikaciyi u poyednanni z bud yakim protokolom zv yazku SMB FTP RPC HTTP ta inshi piddana ataci pass the hash Vid danoyi ataki vazhko zahistitisya oskilki isnuyut chislenni eksplojti dlya Windows sho dozvolyayut atakuyuchomu otrimati prava administratora i zdijsniti zbir heshiv Bilsh togo komprometaciya vsogo domenu Windows mozhe buti zdijsnena z vikoristannyam odnogo uchasnika cogo domenu Chislenni programi dlya provedennya viprobuvan na proniknennya mozhut buti vikoristani dlya avtomatichnogo poshuku vrazlivostej v sistemi Dlya zahistu vid ataki pass the hash zastosovuyetsya metod kompleksnogo zahistu vikoristannya mizhmerezhevogo ekranu sistemi zapobigannya vtorgnen IPsec antivirusnih program povne shifruvannya diska avtentifikaciya z vikoristannyam standartu IEEE 802 1 X zmenshennya chisla koristuvachiv z pravami administratora svoyechasna ustanovka onovlennyu bezpeki Zaborona sistemi Windows na keshuvannya heshiv paroliv mozhe pereshkoditi atakuyuchomu vityagti ci znachennya z pam yati Na praktici ce oznachaye mozhlivist provedennya ataki tilki pislya vhodu zhertvi v sistemu U scenariyi ataki na heshi paroliv administratoriv domenu mozhe vikoristovuvatisya mozhlivist prohodzhennya nimi avtentifikaciyi v skomprometovanij sistemi Dozvil administratoriv domenu prohoditi avtentifikaciyu tilki v nadijnih serverah avtentifikaciyi lokalnoyi sistemi bezpeki zvuzhuye vektor ataki Princip minimalnih privileyiv peredbachaye nadannya koristuvachevi minimalno neobhidnih prav dostupu dlya vikonannya bud yakih operacij Zaboronu na vikoristannya v sistemi protokolu NTLM autentifikaciyi LM mozhe pidvishiti zahishenist sistemi hocha protokol Kerberos takozh shilnij do danoyi ataki Zaboronu na vikoristannya znevadzhuvacha mozhe pereshkoditi atakuyuchomu otrimati hesh z pam yati procesiv 32 Rezhim obmezhenogo administruvannya dodanij v Windows v 2014 roci v onovlenni sistemi bezpeki rozroblenij dlya znizhennya efektivnosti danogo metodu ataki PrimitkiHummel Why Crack When You Can Pass the Hash 2009 Microsoft LsaLogonUser 2011 Todorov Mechanics of User Identification and Authentication Fundamentals of Identity Management 2007 s 233 Microsoft How Interactive Logon Works 2009 Stirnimann Windows Attack Gain Enterprise Admin Privileges in 5 Minutes 2010 s 24 Ewaida Pass the hash attacks Tools and Mitigation 2010 s 26 Stirnimann Windows Attack Gain Enterprise Admin Privileges in 5 Minutes 2010 s 9 Ochoa Pass The Hash Toolkit for Windows 2008 s 11 Core Security Technologies Pass The Hash Toolkit 2007 Ewaida Pass the hash attacks Tools and Mitigation 2010 s 12 13 Core Security Technologies Pass The Hash Toolkit 2007 WHOSTHERE EXE WHOSTHERE ALT EXE Ochoa WCE Internals 2011 s 3 6 Ochoa Windows Credentials Editor WCE F A Q 2011 Symantec SecurityRisk WinCredEd 2011 Microsoft HackTool Win32 Wincred A 2011 Hummel Why Crack When You Can Pass the Hash 2009 s 8 9 3 3 Dump the hash locally Hummel Why Crack When You Can Pass the Hash 2009 s 8 3 3 Dump the hash locally Hummel Why Crack When You Can Pass the Hash 2009 s 8 3 2 Sniff the LM hash off the network Hummel Why Crack When You Can Pass the Hash 2009 s 10 3 5 Dump and analyze the contents of memory Hummel Why Crack When You Can Pass the Hash 2009 s 20 5 1 What systems are at risk Hummel Why Crack When You Can Pass the Hash 2009 s 20 5 2 What services are at risk Ewaida Pass the hash attacks Tools and Mitigation 2010 s 26 3 5 Part 2 Defense Pass the hash Mitigation Kraus Barber Borkin Alpern Seven Deadliest Microsoft Attacks 2010 s 17 Defense in Depth Approach Grimes Stop pass the hash attacks before they begin 2011 Kraus Barber Borkin Alpern Seven Deadliest Microsoft Attacks 2010 s 14 Ewaida Pass the hash attacks Tools and Mitigation 2010 s 30 3 5 4 Limit Cached Credentials Ewaida Pass the hash attacks Tools and Mitigation 2010 s 26 3 5 1 Sensitive Systems Isolation Ewaida Pass the hash attacks Tools and Mitigation 2010 s 27 3 5 2 Enforce Least User Access LUA Ewaida Pass the hash attacks Tools and Mitigation 2010 s 28 3 5 3 Avoid LM and NTLM challenge response securityfocus Microsoft Windows Kerberos Pass The Ticket Replay Security Bypass Vulnerability 2010 Malgherini Focardi Attacking and fixing the Microsoft Windows Kerberos login service 2010 s 8 10 3 3 Pass the ticket Attack Ewaida Pass the hash attacks Tools and Mitigation 2010 s 30 3 5 5 Disable Debug Programs User Right Microsoft Sovety po bezopasnosti Microsoft 2871997 2014 Inodi Windows za zamovchuvannyam mozhe vikoristovuvati protokol avtentifikaciyi Kerberos LiteraturaKnigi Kraus R Barber B Borkin M Alpern N Seven Deadliest Microsoft Attacks Syngress 2010 ISBN 1 59749 551 4 Todorov D Mechanics of User Identification and Authentication Fundamentals of Identity Management CRC Press 2007 ISBN 9781420052190 Statti Hummel C Why Crack When You Can Pass the Hash SANS Institute 2009 Stirnimann D Windows Attack Gain Enterprise Admin Privileges in 5 Minutes Compass Security AG 2010 Ochoa H Pass The Hash Toolkit for Windows Core Security Technologies 2008 Ochoa H WCE Internals RootedCON 2011 Ochoa H Windows Credentials Editor WCE F A Q Amplia Security 2011 Ewaida B Pass the hash attacks Tools and Mitigation SANS Institute 2010 Grimes R Stop pass the hash attacks before they begin Infoworld 2011 Malgherini T Focardi R Attacking and fixing the Microsoft Windows Kerberos login service Universit a Ca Foscari 2010 Sajti LsaLogonUser Microsoft 2011 How Interactive Logon Works Microsoft 2009 Pass The Hash Toolkit Core Security Technologies 2007 SecurityRisk WinCredEd Symantec 2011 HackTool Win32 Wincred A Microsoft 2011 Microsoft Windows Kerberos Pass The Ticket Replay Security Bypass Vulnerability securityfocus com 2010 Poradi z bezpeki Microsoft 2871997 Microsoft 2014

Дата публікації:
Топ