ทำความเข้าใจความเสี่ยงด้านความปลอดภัยของ NTLM

Silverfort ภาพ
NTLM 1 แผ่น – 1234 x 402
สารบัญ

แบ่งปันโพสต์นี้:

ในเดือนตุลาคม 2023 Microsoft ได้ทำ การประกาศครั้งสำคัญที่ส่งสัญญาณถึงจุดเริ่มต้นของการสิ้นสุดของ NTLMรวมถึงทุกรุ่นด้วย การตัดสินใจครั้งนี้ซึ่งย้ำในเดือนมิถุนายน 2024 ตอกย้ำความมุ่งมั่นของ Microsoft ในการเปลี่ยนนักพัฒนาไปใช้โปรโตคอลที่ปลอดภัยยิ่งขึ้น เช่น Kerberos ผ่านกลไกการเจรจาต่อรอง เนื่องจากกระบวนการเลิกใช้งานที่มีกำหนดจะเริ่มในต้นปี 2025 และแล้วเสร็จภายในปี 2027 การครองราชย์อันยาวนานของ NTLM จึงสิ้นสุดลง

แม้จะมีความสำคัญทางประวัติศาสตร์ แต่ปัจจุบัน NTLM แสดงถึงความรับผิดด้านความปลอดภัยอย่างมาก- บล็อกนี้จะสำรวจจุดอ่อนที่สำคัญของ NTLM เหตุผลเบื้องหลังการใช้งานเป็นเวลานาน และความจำเป็นในการเปลี่ยนแปลงไปสู่ความปลอดภัยที่มากขึ้น การรับรอง โปรโตคอล การทำความเข้าใจองค์ประกอบเหล่านี้ถือเป็นสิ่งสำคัญสำหรับองค์กรในการปกป้องระบบและข้อมูลของตนในสภาพแวดล้อมทางดิจิทัลที่กำลังพัฒนา 

ประกาศของไมโครซอฟต์

Microsoft ประกาศในเดือนตุลาคม 2023 มีความตั้งใจที่จะเลิกใช้งาน NTLM ทุกเวอร์ชัน รวมถึง LANMAN, NTLMv1 และ NTLMv2 การตัดสินใจนี้ได้รับการยืนยันอีกครั้งในเดือนมิถุนายน 2024 โดยเน้นว่า NTLM ไม่ได้อยู่ระหว่างการพัฒนาอีกต่อไป และกระตุ้นให้นักพัฒนาเปลี่ยนไปใช้โปรโตคอลที่ปลอดภัยยิ่งขึ้น เช่น Kerberos ผ่านกลไก Negotiate​​

กระบวนการเลิกใช้งานมีกำหนดจะเริ่มในต้นปี 2025โดยมีการลดการสนับสนุนเป็นระยะๆ ตลอดทั้งปี ภายในกลางปี ​​2026 NTLM จะไม่มีให้ใช้งานในการติดตั้งระบบปฏิบัติการใหม่ของ Microsoft อีกต่อไป (ความเป็นไปได้ในการเปิดใช้งานในการตั้งค่าขั้นสูงบางอย่างยังไม่ได้รับการยืนยัน) การเลิกใช้งานโดยสมบูรณ์ รวมถึงการถอนการสนับสนุนแบบเดิม คาดว่าจะแล้วเสร็จภายในสิ้นปี 2027

NTLM เป็นความเสี่ยงด้านความปลอดภัย

ปัจจุบัน NTLM ก่อให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญเนื่องจากวิธีการเข้ารหัสที่ล้าสมัยและจุดอ่อนที่มีการจัดทำเอกสารไว้อย่างดี นอกจากนี้ NTLM ยังขาดคุณสมบัติด้านความปลอดภัยที่ทันสมัย ​​เช่น การตรวจสอบหลายปัจจัย (MFA) และการตรวจสอบตัวตนของเซิร์ฟเวอร์ เนื่องจากจุดอ่อนเหล่านี้ ผู้โจมตีสามารถใช้ประโยชน์จาก NTLM และเข้าถึงทรัพยากรที่มีความละเอียดอ่อน เช่น ฐานข้อมูลและแอปพลิเคชันภายในโดยไม่ได้รับอนุญาต ทำให้เกิดความรับผิดที่สำคัญ

NTLM เวอร์ชันเก่าใช้ความลับที่ใช้ร่วมกัน (รหัสผ่าน) เพื่อตรวจสอบสิทธิ์ผ่านช่องทางที่ไม่ได้เข้ารหัส สำหรับผู้ใช้ใหม่ ไม่มีโปรโตคอลการเริ่มต้น มันง่ายเพียงแค่ “กรุณาเข้าสู่ระบบผู้ใช้ X ด้วยรหัสผ่าน Y”

ซึ่งหมายความว่าโปรโตคอลจะแลกเปลี่ยนข้อมูลทั้งหมดที่จำเป็นสำหรับผู้โจมตีในการถอดรหัสรหัสผ่านด้วยการโจมตีแบบดุร้ายภายในข้อความเอง

เพื่อปรับปรุงข้อบกพร่องของ NTLM การรวมเกลือเข้ากับกลไกการตอบสนองต่อความท้าทายของ NTLMv2 ด้วยเหตุนี้ NTLMv2 จึงถูกมองเป็น "บางส่วนเค็ม" หรือ "ไม่มีการปรับปรุง" ซึ่งปรับปรุงความปลอดภัยในระหว่างการตรวจสอบความถูกต้อง แต่ไม่ได้กล่าวถึงความปลอดภัยในการจัดเก็บข้อมูลของการแฮชรหัสผ่านหรือการนำแฮชกลับมาใช้ซ้ำได้อย่างสมบูรณ์ เช่นเดียวกับในการโจมตีแบบส่งต่อ โดยรวมแล้ว NTLMv2 ไม่ได้ให้การป้องกันจากการโจมตีแบบส่งต่อเนื่องจากความสามารถในการนำรหัสผ่านที่แฮชมาใช้ซ้ำได้

ความแพร่หลายของ NTLM: การยืนหยัดครั้งสุดท้ายของมรดก

แม้จะมีช่องโหว่มากมาย แต่ NTLM ก็ยังคงยืนหยัดเหมือนนักรบเก่าที่ไม่ยอมเกษียณ การคงอยู่ของ NTLM ไม่ใช่แบบสุ่ม ในช่วงปลายทศวรรษ 1990 และต้นทศวรรษ 2000 คลื่นของแอปพลิเคชันแบบเดิมถือกำเนิดขึ้น แอปพลิเคชันเหล่านี้มักได้รับการปรับแต่งให้เหมาะกับความต้องการเฉพาะขององค์กร อย่างไรก็ตาม เมื่อเวลาผ่านไป แอปพลิเคชันเหล่านี้จำนวนมากก็ถูกผู้สร้างละทิ้งไป แม้ว่าจะไม่มีการอัปเดตหรือการสนับสนุน แต่ก็ยังมีความสำคัญต่อองค์กรนับไม่ถ้วน

NTLM ซึ่งมีกลไกการตรวจสอบสิทธิ์ที่เรียบง่ายแต่แข็งแกร่ง กลายเป็นเส้นชีวิตของระบบเดิมเหล่านี้- โดยให้ความเข้ากันได้ที่จำเป็นสำหรับการทำงานในโลกสมัยใหม่ที่เปลี่ยนไปใช้โปรโตคอลที่ใหม่กว่าและปลอดภัยกว่าอย่าง Kerberos มายาวนาน

สำหรับหลายๆ องค์กร การเปลี่ยนระบบที่สำคัญเหล่านี้ถือเป็นเรื่องที่น่ากังวล การย้ายไปสู่โปรโตคอลการตรวจสอบความถูกต้องสมัยใหม่ไม่ได้เป็นเพียงความท้าทายทางเทคนิค แต่เป็นความพยายามที่มีค่าใช้จ่ายสูงและซับซ้อน สิ่งนี้จำเป็นต้องมีการปรับปรุงโครงสร้างพื้นฐานและโค้ดแอปพลิเคชันใหม่อย่างกว้างขวาง เมื่อภูมิทัศน์ขององค์กรพัฒนาขึ้น โครงสร้างพื้นฐานด้านไอทีก็พัฒนาขึ้นเช่นกัน

มีการนำระบบใหม่ๆ มาใช้ และมาพร้อมกับความจำเป็นในการรักษาความสัมพันธ์ที่ไว้วางใจได้ในสภาพแวดล้อมแบบหลายโดเมน แม้จะอายุมากแล้ว NTLM ก็ได้รับการพิสูจน์แล้วว่าเป็นสะพานเชื่อมที่เชื่อถือได้ ช่วยให้มั่นใจในความต่อเนื่องในการปฏิบัติงานและความสะดวกในการจัดการ การอัพเกรดอย่างค่อยเป็นค่อยไปกลายเป็นเรื่องปกติและ NTLM มักจะถูกเก็บไว้เป็นทางเลือกสำรอง ซึ่งเป็นตาข่ายนิรภัยเมื่อโปรโตคอลใหม่สะดุด

อย่างไรก็ตาม นักวิเคราะห์ด้านความปลอดภัยทราบดีว่าจุดอ่อนของ NTLM ทำให้ NTLM เป็นเป้าหมายสำคัญสำหรับผู้โจมตี เนื่องจากการโจมตีแบบพาสเดอะแฮช การโจมตีแบบรีเลย์ และความพยายามแบบเดรัจฉานล้วนเป็นสิ่งที่คุ้นเคยใน NTLM การพึ่งพา NTLM นี้เป็นเรื่องราวของการอยู่รอดในโลกดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็ว ซึ่งเป็นการผสมผสานที่ละเอียดอ่อนระหว่างนวัตกรรมและมรดก

อย่างไรก็ตาม เป็นมูลค่าการกล่าวขวัญว่า NTLM ไม่ใช่โปรโตคอลสำหรับการตรวจสอบความถูกต้องอย่างเคร่งครัด แต่เป็นรูปแบบแนวคิดสำหรับการออกแบบกลไกการตรวจสอบความถูกต้อง- ความอเนกประสงค์ช่วยให้สามารถผสานรวมกับโปรโตคอลเสริมต่างๆ เช่น SMB หรือ CIFS สำหรับการแชร์ไฟล์และ RPC สำหรับการเข้าถึง RDP ทำให้เป็นโมเดลที่แข็งแกร่งและปรับเปลี่ยนได้สำหรับการตรวจสอบสิทธิ์

เหตุใด NTLM จึงยังคงครองราชย์: ความเข้ากันได้แบบเดิม ความจำเป็นในการปฏิบัติงาน และข้อพิจารณาด้านความปลอดภัย

การอัพเกรดหรือการเขียนระบบเดิมใหม่มีค่าใช้จ่ายและความซับซ้อนสูง ซึ่งส่งผลต่อความคงอยู่ของ NTLM นอกจากนี้ NTLM ยังคงถูกใช้ต่อไปแม้จะมีโปรโตคอลการตรวจสอบความถูกต้องที่ทันสมัยกว่า เนื่องจากลักษณะของการอัพเกรดโครงสร้างพื้นฐานแบบค่อยเป็นค่อยไป และการพึ่งพาระบบที่ไม่ใช่ Windows และบุคคลที่สาม
ต่อไปนี้เป็นรายการองค์ประกอบสำคัญบางประการ:

ความเข้ากันได้และระบบเดิม:

  • ระบบและแอปพลิเคชันรุ่นเก่าได้รับการออกแบบให้ทำงานกับ NTLM
  • การเขียนใหม่หรือการอัพเกรดระบบเหล่านี้อาจมีค่าใช้จ่ายสูงและซับซ้อน
  • ระบบและแอปพลิเคชันที่ไม่ใช่ Windows บางระบบยังคงใช้ NTLM
  • องค์กรต่างๆ มักจะอัปเกรดโครงสร้างพื้นฐานด้านไอทีของตนแบบค่อยเป็นค่อยไป

การควบคุมความปลอดภัยและการสนับสนุนผู้ขาย:

  • ผู้จำหน่ายบุคคลที่สามบางรายอาจรองรับ NTLM เท่านั้น
  • องค์กรต่างๆ ปรับปรุง NTLM ด้วยการควบคุมความปลอดภัย เช่น MFA และการตรวจสอบ
  • NTLM ใช้ในบางกรณี เช่น การเข้าถึงระยะไกล
  • การรักษาความต่อเนื่องในการปฏิบัติงานมักจะมีชัยเหนือการนำเทคโนโลยีใหม่มาใช้

ทำความเข้าใจความท้าทายในการซิงค์รหัสผ่านและความเสี่ยง SaaS

ทางฝั่งเซิร์ฟเวอร์ แฮชรหัสผ่านจะถูกเก็บไว้อย่างปลอดภัยในไฟล์ NTDS.dit บนตัวควบคุมโดเมนแต่ละตัว (DC) อย่างไรก็ตาม แฮชเหล่านี้เสี่ยงต่อการโจมตี DCSync ซึ่งเป็นเทคนิคที่ซับซ้อนที่ซอฟต์แวร์ที่เป็นอันตรายปลอมตัวเป็น DC ที่ถูกต้องตามกฎหมาย
ด้วยการใช้เทคนิคนี้ ผู้โจมตีสามารถหลอกให้ DC ซิงค์ฐานข้อมูลแฮชรหัสผ่านกับซอฟต์แวร์โกง เช่น Mimikatz
วิธีนี้ช่วยให้ผู้โจมตีสามารถรวบรวมชุดแฮชข้อมูลประจำตัวที่สมบูรณ์จากตัวควบคุมโดเมน ซึ่งสามารถนำไปใช้สำหรับการครอบครองโดเมนได้

ตัวอย่างจากคอนโซล Mimikatz กำลังดำเนินการ lsadump สำหรับ dcsync
คำสั่ง lsadump ใช้เพื่อแยกข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านและแฮชจากความลับของ Local Security Authority (LSA)

สิ่งนี้เป็นอันตรายอย่างยิ่งสำหรับสภาพแวดล้อม SaaS ที่ซิงโครไนซ์กับภายในองค์กร Active Directory (AD) ผ่าน cloud Identity Providers (IdPs) เช่น Azure AD- แฮชที่ถูกขโมยสามารถใช้เพื่อตรวจสอบแอปพลิเคชัน SaaS โดยไม่ต้องถอดรหัสรหัสผ่านโดยใช้ประโยชน์จากการรวม AD ที่ซิงค์กัน สิ่งนี้ทำให้สามารถเข้าถึงข้อมูลธุรกิจและบริการที่สำคัญในระบบคลาวด์โดยไม่ได้รับอนุญาต

ผู้โจมตีสามารถเคลื่อนที่ไปด้านข้างภายในสภาพแวดล้อมคลาวด์ บุกรุกบัญชีเพิ่มเติม และเข้าถึงข้อมูลที่ละเอียดอ่อน หากได้รับข้อมูลประจำตัวของผู้ดูแลระบบ พวกเขาสามารถทริกเกอร์การสร้างแบ็คดอร์ เปลี่ยนแปลงการตั้งค่าความปลอดภัย และรักษาการเข้าถึงอย่างต่อเนื่อง สิ่งนี้เน้นย้ำถึงความจำเป็นสำหรับ MFA การติดตามอย่างต่อเนื่อง และการยึดมั่นในหลักการของ สิทธิพิเศษน้อยที่สุด.

การเปิดเผยช่องโหว่ของ NTLM: การเข้าถึงเบื้องต้น การเคลื่อนไหวด้านข้าง และการเปิดเผยภัยคุกคาม

ในส่วนนี้จะเจาะลึกถึงขั้นตอนวิกฤตของความเสี่ยง ซึ่งรวมถึงวิธีที่ผู้โจมตีมักจะใช้ประโยชน์จากจุดอ่อนของ NTLM ในระหว่างการเข้าถึงครั้งแรกและขั้นตอนหลังการหาประโยชน์ ทำให้พวกเขาสามารถสร้างฐานที่มั่น เพิ่มระดับสิทธิพิเศษ และย้ายไปทางด้านข้าง ซึ่งจะเป็นการขยายศักยภาพในการประนีประนอมเครือข่ายในวงกว้าง

การเข้าถึงครั้งแรก: ผู้โจมตีมักจะได้รับการเข้าถึงเบื้องต้นผ่านวิธีการต่างๆ เช่น ฟิชชิ่งหรือการหาประโยชน์จากช่องโหว่ของซอฟต์แวร์ เมื่อเข้าไปข้างในแล้ว พวกเขาใช้ประโยชน์จากช่องโหว่ของ NTLM เพื่อสร้างฐานเครือข่าย

การเปิดเผยหลังการแสวงหาผลประโยชน์: หลังการใช้ประโยชน์ ช่องโหว่ของ NTLM ช่วยให้ผู้โจมตีสามารถรักษาและขยายการเข้าถึงได้ ซึ่งอาจเกี่ยวข้องกับการขยายสิทธิพิเศษเพิ่มเติมและการย้ายภายในเครือข่ายด้านข้าง ซึ่งเพิ่มความเสียหาย

การเข้าถึงที่เป็นอันตราย: การเคลื่อนไหวด้านข้าง

การเคลื่อนไหวด้านข้าง: ด้วย NTLM คุณสามารถใช้ซ้ำหรือเล่นแฮชซ้ำบนเครื่องอื่นที่มีสิทธิพิเศษมากกว่าได้จนกว่าคุณจะได้รับความเหนือกว่าโดเมน Kali Linux นอกกรอบ (แฮ็กเกอร์) ออนบอร์ดด้วย Metasploit การหาประโยชน์สามารถใช้เพื่อบรรลุสิ่งนี้ได้

ตัวอย่างเช่นในไฟล์ เป้าหมายการละเมิดข้อมูลปี 2013ผู้โจมตีใช้ข้อมูลประจำตัวที่ถูกขโมยเพื่อย้ายภายในเครือข่าย เข้าถึงระบบที่ละเอียดอ่อนและข้อมูลลูกค้า การละเมิดนี้เปิดเผยข้อมูลบัตรเครดิตและข้อมูลส่วนบุคคลหลายล้านรายการ โดยเน้นถึงอันตรายของการโจมตีแบบพาสเดอะแฮช ผู้โจมตีใช้แฮช NTLM ที่บันทึกไว้เพื่อตรวจสอบสิทธิ์และเคลื่อนย้ายข้ามระบบภายในเครือข่าย หลบเลี่ยงการตรวจจับและเข้าถึงทรัพยากรที่ละเอียดอ่อน อีกตัวอย่างหนึ่งคือเรื่องน่าอับอาย มัลแวร์เรียกค่าไถ่ WannaCry โจมตี.

ผู้โจมตีใช้ช่องโหว่ที่ทราบในโปรโตคอล SMB เพื่อแพร่กระจายมัลแวร์ ซึ่งรวมถึงการใช้ประโยชน์จากจุดอ่อนการรับรองความถูกต้องของ NTLM เพื่อย้ายข้ามเครือข่ายที่ได้รับผลกระทบด้านข้าง สิ่งนี้ทำให้พวกเขาสามารถเผยแพร่ได้อย่างรวดเร็ว ransomwareทำให้เกิดการหยุดชะงักเป็นวงกว้าง

รูปภาพ: ภาพหน้าจอของ Metasploit ที่ทำงานบน Kali Linux จัดแสดงเวอร์ชัน 4.17.3-dev พร้อมรายละเอียดของการหาประโยชน์ โมดูลเสริม และโมดูลหลังการหาประโยชน์ที่มีอยู่

เปิดตัวการเปิดเผยภัยคุกคาม NTLM

หัวข้อถัดไปจะเจาะลึกถึงความเสี่ยงที่เกิดจาก NTLM โดยเน้นว่าผู้โจมตีสามารถใช้ประโยชน์จากแฮชที่จัดเก็บและส่งได้อย่างไร ซึ่งนำไปสู่การละเมิดความปลอดภัยที่สำคัญในเครือข่าย

แฮช NTLM เก็บไว้ในหน่วยความจำ

ช่องโหว่ของ NTLM เห็นได้ชัดเจนเป็นพิเศษในการจัดการและส่งแฮช ทำให้ NTLM เป็นเป้าหมายหลักสำหรับผู้โจมตีที่ต้องการประนีประนอมความปลอดภัยของเครือข่ายผ่านการดึงหน่วยความจำ การสกัดกั้นเครือข่าย และการโจมตีแบบพาสเดอะแฮช

แฮชของ NTLM จะถูกจัดเก็บไว้ในหน่วยความจำของเครื่องที่ได้รับการรับรองความถูกต้อง ผู้โจมตีสามารถใช้เครื่องมือเช่น Mimikatz เพื่อแยกแฮชเหล่านี้ออกจากหน่วยความจำเครื่อง ทำให้พวกเขาสามารถปลอมตัวเป็นผู้ใช้โดยไม่ต้องใช้รหัสผ่านจริง เมื่อผู้โจมตีแยกแฮชของ NTLM แล้ว พวกเขาสามารถทำการโจมตีแบบพาสเดอะแฮชได้

สิ่งนี้เกี่ยวข้องกับการใช้แฮชเพื่อตรวจสอบสิทธิ์กับระบบอื่น ๆ ในเครือข่าย โดยให้สิทธิ์การเข้าถึงแบบเดียวกับผู้ใช้ดั้งเดิมอย่างมีประสิทธิภาพ ซึ่งอาจนำไปสู่การประนีประนอมเครือข่ายในวงกว้างได้หากกำหนดเป้าหมายบัญชีที่มีสิทธิ์สูงกว่า

แฮช NTLM ที่ส่งผ่านเครือข่าย

การตรวจสอบสิทธิ์ NTLM จะส่งแฮชผ่านเครือข่าย ทำให้เสี่ยงต่อการถูกสกัดกั้น ด้วยการใช้เครื่องมือดักจับเครือข่าย ผู้โจมตีสามารถจับแฮชเหล่านี้และทำการโจมตีแบบแทรกกลางเพื่อเข้าถึงแฮชเหล่านั้น หากผู้โจมตีสกัดกั้นแฮชเหล่านี้ได้สำเร็จ พวกเขาสามารถใช้แฮชเหล่านี้เพื่อเพิ่มสิทธิ์โดยการตรวจสอบสิทธิ์กับเครื่องเพิ่มเติม และใช้เครื่องมือเช่น LSADUMP เพื่อแยกข้อมูลประจำตัวเพิ่มเติม

NTLS มีการรับรองความถูกต้องหลายรายการเมื่อเปรียบเทียบกับ Kerberos

การรับรองความถูกต้อง NTLM: แต่ละครั้งที่ผู้ใช้เข้าถึงทรัพยากรที่แตกต่างกัน NTLM จะส่งข้อมูลประจำตัวที่แฮชผ่านเครือข่าย การส่งแฮชซ้ำๆ นี้ทำให้ผู้โจมตีมีโอกาสมากขึ้นในการสกัดกั้นและใช้แฮชในทางที่ผิด

เนื่องจากแฮชถูกจัดเก็บไว้ในแต่ละเครื่อง แฮชจึงถูกกระจายไปทั่วเครือข่ายตามการออกแบบ

ลองนึกภาพผู้ใช้ชื่อ Alice ที่ต้องการเข้าถึงทรัพยากรเครือข่ายต่างๆ เช่น ไฟล์เซิร์ฟเวอร์ เซิร์ฟเวอร์อีเมล และเครื่องพิมพ์ สำหรับการร้องขอการเข้าถึงแต่ละครั้งเวิร์กสเตชันของ Alice ส่งข้อมูลประจำตัวที่แฮชของเธอผ่านเครือข่ายไปยังเซิร์ฟเวอร์ที่เกี่ยวข้อง ผู้โจมตีที่ใช้เครื่องมือดักจับเครือข่ายสามารถสกัดกั้นแฮชเหล่านี้ระหว่างการส่งข้อมูล ด้วยการสกัดกั้นแฮชที่เพียงพอ ผู้โจมตีสามารถทำการโจมตีแบบพาสเดอะแฮชเพื่อเข้าถึงระบบอื่นโดยไม่ได้รับอนุญาตโดยเล่นซ้ำแฮชที่บันทึกไว้

การรับรองความถูกต้อง Kerberos: ในทางตรงกันข้าม Kerberos ใช้กลไกการตรวจสอบสิทธิ์แบบตั๋วที่ลดการร้องขอการตรวจสอบสิทธิ์ซ้ำๆ และลดความเสี่ยงในการสกัดกั้นข้อมูลประจำตัวได้อย่างมาก ใน Kerberos ผู้ใช้จะตรวจสอบสิทธิ์หนึ่งครั้งกับ Key Distribution Center (KDC) และรับ Ticket Granting Ticket (TGT) จากนั้น TGT นี้ใช้เพื่อขอตั๋วบริการสำหรับการเข้าถึงทรัพยากรต่างๆ โดยไม่ต้องส่งข้อมูลประจำตัวของผู้ใช้อีกครั้งผ่านเครือข่าย

การต่อสู้กับการโจมตี NTLM: กลยุทธ์ทั่วไปและมาตรการเชิงรุก

วัตถุประสงค์ของส่วนต่อไปนี้คือเพื่อตรวจสอบเทคนิคที่เกี่ยวข้อง การเข้าถึงข้อมูลรับรองเริ่มต้นด้วยการทิ้งแฮชที่เก็บไว้ในหน่วยความจำ

เมื่อผู้ใช้เข้าสู่ระบบหรือตรวจสอบสิทธิ์กับบริการ ข้อมูลประจำตัวของพวกเขาจะถูกแฮช และแฮชเหล่านี้จะถูกเก็บไว้ในหน่วยความจำของระบบ ผู้โจมตีมักใช้เครื่องมือเช่น Mimikatz เพื่อแยกแฮช NTLM ออกจากหน่วยความจำของเครื่อง เมื่อได้รับแฮชเหล่านี้แล้ว จะสามารถใช้ประโยชน์จากการโจมตีแบบพาสเดอะแฮชเพื่อเข้าถึงระบบอื่นๆ ภายในเครือข่ายโดยไม่ได้รับอนุญาต

โดยทั่วไปแล้วผู้โจมตีจะเริ่มต้นด้วยการโจมตีระบบที่มีสิทธิ์เพียงพอในการเข้าถึงหน่วยความจำ Local Security Authority Subsystem Service (LSASS) ซึ่งเป็นที่เก็บแฮชของ NTLM ตัวอย่างแฮช NTLM และ SHA1 ที่แยกออกมาโดยใช้ Mimikatz

รูปภาพแสดงข้อมูลเกี่ยวกับเซสชันผู้ใช้แบบโต้ตอบ รวมถึงรายละเอียดการรับรองความถูกต้องสำหรับผู้ใช้ชื่อ “alice” บนโดเมน CONTOSO โดยแสดงแฮช NTLM และ SHA1 ของเธอ ซึ่งอาจนำไปใช้ในการโจมตีแบบส่งต่อหรือพยายามถอดรหัสรหัสผ่านได้

จากการรับส่งข้อมูลเครือข่าย: Responder

ในเครือข่ายที่ใช้การรับรองความถูกต้องของ NTLM เครื่องมือเช่น Responder ก่อให้เกิดภัยคุกคามที่สำคัญเนื่องจากสามารถจับแฮชของ NTLM จากการรับส่งข้อมูลเครือข่ายผ่านการปลอมแปลงการตอบสนองของบริการเครือข่าย ลองนึกภาพสถานการณ์ที่ผู้โจมตี Bob แทรกซึมเข้าไปในส่วนเครือข่ายเดียวกันกับ Alice ที่เป็นผู้ดูแลระบบเครือข่าย Bob ตั้งค่า Responder บนแล็ปท็อปของเขาเพื่อฟังบนอินเทอร์เฟซเครือข่ายและตอบกลับคำขอ NetBIOS Name Service (NBT-NS), LLMNR และ mDNS

เนื่องจากเวิร์กสเตชันของ Alice ส่งคำขอเครือข่ายเพื่อแก้ไขชื่อโฮสต์ ผู้ตอบกลับจะดักฟังคำขอเหล่านี้และแสร้งทำเป็นว่าเป็นบริการเครือข่ายที่ถูกต้องตามกฎหมาย เมื่อเครื่องของ Alice ตรวจสอบสิทธิ์บริการปลอมแปลง เครื่องจะส่งแฮช NTLM ของเธอ ซึ่ง Responder จับไว้ ตัวอย่างเช่น Responder อาจแสดงแฮช NTLMv2 ที่สกัดกั้น เช่น alice::CONTOSO:1122334455667788:9988776655443322:0101000000000000800000….

ด้วยแฮชนี้ Bob สามารถทำการโจมตีแบบดุร้ายแบบออฟไลน์โดยใช้เครื่องมืออย่าง Hashcat เพื่อถอดรหัสรหัสผ่านของ Alice อย่างไรก็ตาม มีประสิทธิภาพมากขึ้น เขาสามารถใช้แฮชที่บันทึกไว้ได้โดยตรงในการโจมตีแบบพาสเดอะแฮชเพื่อเข้าถึงระบบอื่น ๆ บนเครือข่ายโดยไม่ได้รับอนุญาตโดยการรับรองความถูกต้องว่าเป็นอลิซ

วัตถุประสงค์ของหัวข้อต่อไปนี้คือเพื่อตรวจสอบเทคนิคที่เกี่ยวข้องกับการเคลื่อนไหวด้านข้าง:

การเคลื่อนไหวด้านข้างโดยใช้ประโยชน์จาก แฮชที่ถูกจับ

ผ่านแฮช: การโจมตี PtH ใช้ประโยชน์จากจุดอ่อนโดยธรรมชาติในการรับรองความถูกต้องของ NTLM ผู้โจมตีใช้แฮช NTLM ที่บันทึกไว้เพื่อตรวจสอบสิทธิ์กับเครื่องอื่นโดยไม่ต้องใช้รหัสผ่านธรรมดา

จากสถานการณ์ก่อนหน้านี้ โดยการดำเนินการคำสั่งเช่น pth-winexe -U 'CONTOSO\alice%1122334455667788:9988776655443322' //target-server cmd – โดยใช้ชุดเครื่องมือ PTH Bob สามารถเปิดพร้อมท์คำสั่งบนเซิร์ฟเวอร์เป้าหมายในฐานะ Alice โดยข้าม ต้องใช้รหัสผ่านธรรมดา ซึ่งสามารถทำได้โดยใช้เครื่องมือต่างๆ ที่รองรับการตรวจสอบสิทธิ์แฮชของ NTLM เช่น pth-winexe หรือ pth-smbclient

ตัวอย่างการโจมตี Pass-the-Hash โดยใช้ pth-winexe เพื่อดำเนินการคำสั่งบนเซิร์ฟเวอร์เป้าหมาย (สามารถเรียกใช้ผ่าน Kali Linux)

รีเลย์ NTLM: การโจมตีแบบส่งต่อ NTLM เกี่ยวข้องกับการสกัดกั้นคำขอการรับรองความถูกต้อง NTLM จากผู้ใช้และส่งต่อไปยังเซิร์ฟเวอร์เป้าหมายเพื่อเข้าถึงโดยไม่ได้รับอนุญาต ผู้โจมตีจับแฮช NTLM และใช้เพื่อตรวจสอบสิทธิ์กับระบบอื่นในฐานะผู้ใช้ที่ถูกต้องตามกฎหมาย โดยใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้ภายในเครือข่าย
เขาใช้เครื่องมือเช่น ntlmrelayx เพื่อส่งต่อแฮช NTLM ที่บันทึกไว้ไปยังเซิร์ฟเวอร์อื่นบนเครือข่ายที่เชื่อถือการตรวจสอบสิทธิ์ NTLM เซิร์ฟเวอร์นี้ไม่ทราบถึงการสกัดกั้น และประมวลผลการรับรองความถูกต้องเสมือนว่ามาจากผู้ใช้ดั้งเดิมอย่างแท้จริง

การใช้รหัสผ่านที่ถอดรหัส

เข้าสู่ระบบโดยตรง -> ในสถานที่: รหัสผ่าน NTLM ที่ถอดรหัสช่วยให้ผู้โจมตีสามารถเลี่ยงมาตรการรักษาความปลอดภัยและเข้าถึงระบบภายในองค์กรได้โดยตรง ผู้โจมตีสามารถแยกและถอดรหัสแฮช NTLM จากเครื่องที่ถูกบุกรุกโดยใช้เครื่องมือเช่น Mimikatz

รหัสผ่านที่ถอดรหัสด้วยวิธีนี้สามารถใช้สำหรับการเข้าสู่ระบบโดยตรงผ่านโปรโตคอลเดสก์ท็อประยะไกล (RDP) หรือเชลล์ที่ปลอดภัย (SSH) ช่วยให้สามารถเคลื่อนย้ายด้านข้างผ่านเครือข่ายด้วยข้อมูลรับรองที่ถูกต้องตามกฎหมาย หลีกเลี่ยง MFA ได้อย่างมีประสิทธิภาพ โดยถือว่ารหัสผ่านนั้นเปิดใช้งานเฉพาะในระหว่างการเข้าสู่ระบบครั้งแรกเท่านั้น

เข้าสู่ระบบโดยตรง -> SaaS: ในสภาพแวดล้อมที่มีการซิงโครไนซ์รหัสผ่าน NTLM ระหว่างระบบภายในองค์กรและแอปพลิเคชัน SaaS รหัสผ่านที่ถอดรหัสอาจเป็นภัยคุกคามที่สำคัญ คุณสามารถเข้าถึงบริการระบบคลาวด์ เช่น Office 365, Salesforce และ Google Workspace ได้โดยใช้ข้อมูลรับรองเหล่านี้ สิ่งนี้จะขยาย พื้นผิวการโจมตี นอกเหนือจากเครือข่ายองค์กรเพื่อรวมทรัพยากรคลาวด์ เพิ่มผลกระทบที่อาจเกิดขึ้นจากการละเมิด- ตัวอย่างเช่น การถอดรหัสรหัสผ่าน NTLM ของผู้ดูแลระบบจากสภาพแวดล้อมภายในองค์กรทำให้ผู้โจมตีสามารถเข้าถึงบริการคลาวด์ขององค์กรด้วยสิทธิ์ในระดับเดียวกัน
สิ่งนี้เน้นย้ำถึงความจำเป็นในแนวทางปฏิบัติด้านการเข้ารหัสที่แข็งแกร่ง การควบคุมการเข้าถึงที่เข้มงวด และ MFA ในบริการทั้งหมดเพื่อป้องกันการประนีประนอมข้อมูลประจำตัวของ NTLM

เนื่องจากลักษณะทางเดียวของแฮชของ NTLM จึงเป็นไปไม่ได้ที่จะถอดรหัสรหัสผ่านข้อความธรรมดาจากแฮชของ NTLM ได้โดยตรง เป็นไปได้ที่จะใช้ประโยชน์จากแฮชเหล่านี้โดยใช้เทคนิคเช่นตารางสายรุ้งหรือการโจมตีแบบเดรัจฉานโดยใช้เครื่องมือเช่น Hashcat

ตั้งแต่การบันทึกการเข้าถึงข้อมูลประจำตัวไปจนถึงการเคลื่อนไหวด้านข้าง

ลองนึกภาพสถานการณ์ต่อไปนี้: Bob ผู้โจมตีที่มีประสบการณ์ ตัดสินใจที่จะใช้ประโยชน์จากการพึ่งพา NTLM ของบริษัทในการตรวจสอบเครือข่าย เขาตั้งค่าแล็ปท็อปของเขาบนส่วนเครือข่ายเดียวกันและ กำหนดค่า Responder เพื่อบันทึกคำขอการรับรองความถูกต้อง NTLM โดยการฟังบนอินเทอร์เฟซเครือข่าย ในขณะที่พนักงานเช่น Alice พยายามเข้าถึงทรัพยากรเครือข่าย Responder จะสกัดกั้นคำขอเหล่านี้และบันทึกแฮช NTLM ของพวกเขา

ด้วยแฮชเหล่านี้ในมือ Bob ใช้ ntlmrelayx เพื่อถ่ายทอดไปยังเซิร์ฟเวอร์เป้าหมายที่มีมูลค่าสูง ที่ที่อยู่ IP 192.168.1.10 ด้วยการรัน ntlmrelayx.py -t smb://192.168.1.10 Bob จะส่งต่อแฮชที่ถูกจับของ Alice ไปยังเซิร์ฟเวอร์ได้อย่างมีประสิทธิภาพ ซึ่งยอมรับการรับรองความถูกต้องอย่างไร้เดียงสา และให้สิทธิ์เขาในการเข้าถึงราวกับว่าเขาเป็น Alice ซึ่งช่วยให้ Bob สามารถสำรวจการแชร์ไฟล์ของเซิร์ฟเวอร์และอาจดึงข้อมูลที่ละเอียดอ่อนออกมาได้ ซึ่งแสดงให้เห็นถึงความเสี่ยงร้ายแรงที่เกิดจากการโจมตีแบบส่งต่อ NTLM ในสภาพแวดล้อมเครือข่ายที่ไม่มีการป้องกัน

รูปภาพนี้แสดงให้เห็นกระบวนการสามขั้นตอนของการโจมตีเครือข่าย โดยที่ Bob กำหนดค่า Responder ให้จับและถ่ายทอดแฮชของ NTLM ซึ่งจากนั้นจะถูกใช้เพื่อเข้าถึงโดยไม่ได้รับอนุญาตและแยกข้อมูลที่ละเอียดอ่อน

เพิ่มการมองเห็นในการใช้งาน NTLM

เพื่อปกป้องตนเองจากทุกวิธีที่ผู้โจมตีสามารถใช้ประโยชน์จาก NTLM ได้ องค์กรต่างๆ จำเป็นต้องดำเนินการเป็นอันดับแรก มองเห็นสถานที่และวิธีใช้ NTLM ภายในเครือข่ายของตน- ซึ่งเกี่ยวข้องกับการระบุระบบและแอปพลิเคชันทั้งหมดที่ใช้ NTLM ในการตรวจสอบสิทธิ์ การตรวจสอบเครือข่ายและเครื่องมือตรวจสอบอย่างสม่ำเสมอสามารถช่วยให้บรรลุการมองเห็นนี้ได้

Silverfort ปรับปรุงการมองเห็น NTLM ด้วยการรวมแพลตฟอร์มเพื่อตรวจสอบและปกป้องการรับรองความถูกต้องทั้งหมดภายในสภาพแวดล้อมขององค์กร โดยการทำเช่นนี้ Silverfort ให้การมองเห็นแบบเรียลไทม์และการวิเคราะห์ความเสี่ยงของการรับรองความถูกต้องของ NTLMช่วยให้องค์กรสามารถตรวจจับและบรรเทาภัยคุกคามที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ Silverfortกลไกการวิเคราะห์ความเสี่ยงที่ขับเคลื่อนด้วย AI ของจะตรวจสอบความพยายามในการเข้าถึงอย่างต่อเนื่อง สร้างพื้นฐานพฤติกรรมโดยละเอียดสำหรับผู้ใช้แต่ละราย ซึ่งจะช่วยในการระบุกิจกรรมที่ผิดปกติและความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับการรับรองความถูกต้องของ NTLM

ควรลดความพยายามในการพึ่งพา NTLM เพื่อลดการใช้ NTLM ให้เหลือน้อยที่สุด การเปลี่ยนมาใช้โปรโตคอลการตรวจสอบความถูกต้องที่ปลอดภัยยิ่งขึ้น เช่น Kerberos หรือกลไกการตรวจสอบความถูกต้องบนคลาวด์สมัยใหม่ สามารถลดความเสี่ยงที่เกี่ยวข้องกับ NTLM ได้ Microsoft ขอแนะนำให้ใช้โปรโตคอล Negotiate ซึ่งจะจัดลำดับความสำคัญของ Kerberos และกลับไปใช้ NTLM เมื่อจำเป็นเท่านั้น

ปรับปรุงความปลอดภัยขององค์กรของคุณโดยการมองเห็นที่ชัดเจนเกี่ยวกับการใช้งาน NTLM ในขณะที่ระบุตำแหน่งที่ใช้ NTLM และดำเนินการเพื่อลดการพึ่งพาโดยการเปลี่ยนไปใช้โปรโตคอลการตรวจสอบความถูกต้องที่ปลอดภัยยิ่งขึ้น

NTLM เป็นพื้นที่การโจมตีที่คุณต้องการจัดการหรือไม่ กำหนดเวลาการประชุมกับผู้เชี่ยวชาญของเรา Good Farm Animal Welfare Awards.

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต
ฮีโร่ใหม่ (1)

Silverfort เข้าซื้อกิจการ Fabrix Security

มอบการรักษาความปลอดภัยข้อมูลประจำตัวแบบอัตโนมัติในระหว่างการทำงาน

เป็นผู้บุกเบิกเครื่องมือควบคุมการเข้าถึงแบบเรียลไทม์อัตโนมัติเป็นครั้งแรก ซึ่งออกแบบมาเพื่อปกป้องข้อมูลประจำตัวของมนุษย์ เครื่องจักร และตัวแทนทั้งหมด โดยใช้บริบทเชิงลึกและความเร็วของ AI

อ่านเรื่องราวฉบับเต็มได้ที่นี่