Detecte ataques de pass the hash no seu ambiente de TI com o Netwrix Threat Manager
Pass the hash é uma técnica na qual o atacante se autentica como um usuário usando o hash da senha, ao invés de usar a senha em texto bruto. Este ataque abusa o protocolo de autenticação NTLM e pode ser usado contra contas regulares e privilegiadas para permitir que os adversários se movimentem lateralmente e escalem seus privilégios. É importante limitar a capacidade dos adversários para comprometer os hashes de senha requeridos para executar o ataque em primeiro lugar, também é importante procurar por sinais de ataque em progresso.
Veja como o Netwrix Threat Manager pode detectar os ataques de Pass the hash:
Descubra possíveis adversários plantando falsas credenciais
Use honey tokens para injetar falsas credenciais na memória do LSASS em máquinas alvo e monitore o uso dessas credenciais. Se você ver essas credenciais em uso, é conclusivo que elas foram recuperadas da memórias de uma das máquinas de honeypot e usadas para movimentação lateral.
Procure por comportamento suspeitos
Ao ter uma ideia do comportamento normal do usuário e procurando por uso suspeito de contas, você pode detectar o pass the hash e outros ataques de movimentação lateral. Comportamentos a se procurar incluem:
- Uma conta sendo usada de um host que nunca foi autenticada antes.
- Uma conta sendo usada de um host que nunca foi acessado
- Uma conta acessando múltiplos hosts de forma que viola os padrões normais de acesso
Comentários
0 comentário
Por favor, entre para comentar.