Detecte ataques de Pass the Hash no seu ambiente de TI com o Netwrix Threat Manager
Pass the Hash é uma técnica em que o atacante se autentica como um usuário usando o hash da sua senha, ao invés de obter o texto bruto da senha. Este ataque abusa do protocolo de autenticação NTLM e pode ser usado em contas regulares ou privilegiadas para permitir que os adversários se movam lateralmente e escalem seus privilégios. É importante limitar a capacidade dos adversários de comprometerem os hashes de senhas necessários para executar o ataque, assim como é importante se atentar a sinais de ataques em progresso.
Veja como o Netwrix Threat Manager pode detectar ataques de pass the hash:
Descubra adversários plantando credenciais falsas
Use HoneyTokens para injetar credenciais falsas na memória do LSASS em máquinas alvo e monitore-as para o uso dessas credenciais em uso, é conclusivo que eles foram recuperados da memória em um dos honeypot e usados em movimento lateral.
Veja o comportamento suspeito de usuários
Ao ficar de olho em comportamento normal de usuários e procurando por utilização suspeita das contas, você pode detectar o Pass-the-hash e outros ataques de movimentação lateral no ambiente. Comportamentos a se atentar incluem:
- Uma conta sendo usada de um host que nunca autenticou antes
- Uma conta sendo usada para acessar um host que nunca foi acessado antes
- Uma conta acessando múltiplos hosts de uma forma que viola os padrões de acesso normal
Comentários
0 comentário
Por favor, entre para comentar.