蜜罐在检测哈希传递攻击中的作用

欺骗技术是一种网络安全策略，利用诱饵收集有关网络犯罪分子当前威胁和攻击方法的信息。这种方法的前提是在您的网络中提供某种诱饵，例如看起来像合法数据库的假数据库，攻击者会发现这种诱饵太诱人而无法拒绝。当威胁行为者访问该诱饵时，内部网络安全团队可以收集有关攻击者活动及其目标漏洞的情报。

欺骗性技术的两个例子是垃圾邮件陷阱和蜜罐：

• 垃圾邮件陷阱是为识别垃圾邮件和其他不需要的电子邮件而创建的电子邮件地址，这些电子邮件可能是恶意软件感染和凭据盗窃的来源。
• 蜜罐是一种诱饵系统，旨在引诱攻击者，以便 IT 团队可以收集有关其攻击方法的信息。

在本文中，我们将重点介绍蜜罐技术和当今使用的不同类型的蜜罐技术。

蜜罐的类型

生产蜜罐

生产蜜罐用于通过将威胁行为者重定向远离关键系统来保护生产网络免受网络攻击。它通常与其他安全工具和控件一起部署，例如防火墙、入侵检测系统 (IDS) 或反恶意软件软件。

研究蜜罐

研究蜜罐部署在研究实验室等受控环境中，用于捕获和分析可疑流量活动，以发现新的和正在出现的威胁。研究蜜罐还可用于帮助评估各种安全工具和保护技术在对抗新攻击方面的有效性。

交互蜜罐

交互蜜罐旨在吸引威胁行为者与某种类型的数字资产进行交互。它们经常模拟攻击者通常试图利用的易受攻击的系统、服务器或应用程序。 交互蜜罐分为两类。

• 低交互蜜罐模拟最常见和最脆弱的服务和协议。它们仅用于基本的检测和监控目的，并且由于其简单且尺寸小而可以轻松部署。
• 高交互蜜罐模拟完整的操作系统或复杂的应用环境。它们不是模拟单个服务或协议，而是模拟所有系统资源和组件，包括内核、驱动程序、服务和应用程序。由于其复杂性，它们的部署和维护更具挑战性。解释他们的发现可能还需要一些专业知识。

蜜罐即服务

虽然蜜罐可以作为本地网络中的设备或软件应用程序进行部署，但目前也有许多可用的云解决方案。蜜罐即服务产品使组织能够将蜜罐解决方案的部署和支持外包给第三方提供商。蜜罐服务提供商拥有训练有素且知道如何充分利用收集到的情报的支持人员和网络安全专家。他们还可以帮助客户制定事件响应策略。

使用蜜罐解决安全威胁

让我们看看蜜罐如何帮助解决常见威胁：哈希传递 (PtH) 攻击。 PtH 是一种技术，攻击者通过捕获用户的散列密码并使用 Mimikatz 等工具进行身份验证，从而获得对计算机系统的未经授权的访问，而无需知道明文密码。

使用 HoneyHash 检测凭证盗窃

为了识别尝试传递哈希攻击的对手，我们将使用一种称为 HoneyHash 的技术。它涉及在端点的 LSASS 内存中植入虚构帐户的凭据。如果对手试图滥用凭证进行 PtH 攻击，该事件将被记录下来以供分析。

使用脚本推出 Honeyhash

让我们看看使用脚本在您的环境中部署 honeyhashes 的可能方法。

步骤 1. 创建脚本。

为了确保我们的HoneyHash在计算机运行时始终被植入LSASS中，我们将创建一个计算机启动脚本。它需要完成几项关键任务：

• 为每个端点创建唯一的用户 ID - 为了确定攻击发生的位置，我们需要让脚本在每次运行时创建一个唯一的用户 ID：

• 创建密码 - 该脚本还需要创建一个看似合法的密码。我们通过散列运行脚本的计算机的名称来做到这一点：

• 注册凭据 - 该脚本还需要获取域并注册 HoneyHash 凭据：

• 记录 HoneyHash 凭据 - 每次端点启动时，脚本都会运行，生成新的 HoneyHash 用户名和密码，我们需要跟踪这些凭据，以便能够查明窃取它们的企图。以下代码将注册一个名为 HoneyHash 的新事件源，并将有关新 HoneyHash 凭据的信息放入 Windows 事件日志中：

步骤 2. 将脚本推送到所有所需端点并在本地运行。

一旦我们有了脚本，就有多种选项可以在整个环境中部署它，包括组策略和 Intune。

每次启动时，它都会为该端点生成唯一的 HoneyHash 用户 ID 和密码，并且日志将详细说明 HoneyHash 的创建过程，包括何时将其植入内存中：

步骤 3. 分析数据以发现攻击。

现在我们需要收集和分析数据。首先，我们需要确定攻击者何时尝试使用被盗的凭据。无论攻击者尝试传递哈希攻击还是交互式登录，他们的操作都会导致失败的身份验证事件（事件 ID 4625），其中包含我们 HoneyHash 帐户的用户 ID，因此很容易将该事件与蜂蜜哈希。

以下事件 ID 4625 显示使用 HoneyHash 用户 ID Ad.Admin 登录尝试失败：

此事件显示身份验证尝试源自的源计算机和 IP 地址：

发现 HoneyHash 的侦察活动

然而，一些攻击者足够聪明，在通过 LDAP 侦察进行一些基本调查之前不会尝试使用凭据。例如，攻击者可能使用以下命令检查用户帐户是哪些组的成员：

([ADSISearcher]"(samaccountname=AD.Admin)").FindOne().GetDirectoryEntry().memberOf

他们很快就会发现 HoneyHash 帐户不是真实帐户，因此不会尝试在哈希传递攻击中使用它：

不幸的是，没有简单的方法可以本地检测这种侦察活动，并且网络监控等方法可能非常昂贵。但 Netwrix StealthINTERCEPT 可以轻松监控 LDAP 侦察。该活动在仪表板上显示如下：

我们可以看到谁发出了 LDAP 查询，以及它发起的时间和地点：

我们已经抓住了入侵者，即使他们从未尝试在 PtH 攻击中使用 HoneyHash 帐户！

使用 Sysmon 收集额外的取证信息

知道攻击者窃取了我们的蜜罐凭证固然很好，但为了有效应对攻击，我们需要了解更多信息。 我们可能想知道攻击者使用什么工具从 LSASS 内存中检索凭据。

为了扩展数据收集以更好地发现攻击迹象，您可以为 Sysmon 构建自定义配置文件。让我们创建一个配置文件来检测两件事：

• 使用黑客工具读取 Lsass.exe 等进程的内存内容
• 在 PowerShell 和 Mimikatz 中创建流程（识别个体参与者）

这是配置文件：

<Sysmon schemaversion="4.10"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Event ID 1 == Process Creation. --> <ProcessCreate onmatch="include"> <Image condition="end with">powershell.exe</Image> <Image condition="end with">mimikatz.exe</Image> </ProcessCreate> <!-- Event ID 5 == ProcessTerminate. --> <ProcessTerminate onmatch="include"/> <!-- Event ID 10 == ProcessAccess. --> <ProcessAccess onmatch="include"> <TargetImage condition="is">C:Windowssystem32lsass.exe</TargetImage> </ProcessAccess> <ProcessAccess onmatch="exclude"> <TargetImage condition="is">C:Windowssystem32svchost.exe</TargetImage> </ProcessAccess> <!-- Event ID 11 == FileCreate. --> <FileCreate onmatch="include"/> <!-- Event ID 12,13,14 == RegObject added/deleted, RegValue Set, RegObject Renamed. --> <RegistryEvent onmatch="include"/> <!-- Event ID 15 == FileStream Created. --> <FileCreateStreamHash onmatch="include"/> <!-- Event ID 17 == PipeEvent. --> <PipeEvent onmatch="include"/> </EventFiltering> </Sysmon>

要启动监控，您所需要做的就是将该配置文件导入 Sysmon，如下所示：

.Sysmon64.exe -c .sysmon_config.xml

然后您将看到 Windows 事件日志中显示的事件（应用程序和服务日志/Microsoft/Windows/Sysmon/Operational）。例如，这是一个事件 ID 为 10 的事件，表示访问 LSASS 内存：

我们可以看到使用的工具是Mimikatz，但不是启动该进程的用户。要找到这个关键细节，我们可以查看事件 ID 1，它显示 Michael.Bluth 帐户执行了凭据提取：