让黑客在内网为所欲为的“凭据转储”攻击应该如何防御？

凭据转储是网络攻击者用于获取目标网络持久访问权的一项重要技术。他们通过网络钓鱼的方式潜入目标企业的网络工作站中，然后利用管理员管理和监视网络的典型方法从操作系统和软件中获取帐户登录名和密码信息，通常是哈希或明文密码形式的信息。进行凭据转储后，攻击者就可以使用这些凭据进行横向移动及访问受限信息。
凭据对于攻击者而言是如此重要，以致在许多情况下，获取用户名和密码不仅是达到目的的手段，而且是攻击的整个目标。因此，在各种犯罪论坛上，凭据都是可出售的商品，并且有些网站可以追踪公开的凭据转储情况。

可以说，任何企业组织都可能存在使他们容易受到凭据转储攻击影响的漏洞。以下是识别此类漏洞或限制这种风险的5种方法，希望可以帮助企业组织更好地防范凭据转储攻击。

1. 限制凭据重用

根据《Verizon数据泄露调查报告》显示，“凭据重用”仍然是攻击者获取权限或在内网移动的主要方式之一。这是有道理的，因为对于攻击者来说，用户名和密码并不难获取。弱密码、密码重复使用和众多的密码公开泄露使得攻击者能够轻松找到入侵网络的凭据。他们一旦进入网络，想要获取更多的凭据就会变得更容易。此外，许多网络钓鱼攻击也都在试图获取用户凭据，然后将其用于获取网络权限的恶意活动中。

这种情况下，我们应该怎么做呢？首先，查看自己的网络管理。查找陌生登录地点。此外，在奇怪的时间登录，或者同时有多人登录也是异常现象。即使你无法在第一时间检测到可疑登录，但在事件响应的时候，这些异常事件会让你发现攻击者进入了网络，此时，你可以在日志中查找可疑活动并将其标记，以便进一步调查时使用。

NIST建议称，企业组织应该定期检查自己的用户密码是否在公开的密码数据库中。如果在网络上使用过的任何密码信息出现在密码泄露列表中，都会使您的网络更容易受到攻击影响。

Troy Hunt已经发布了一个数据库，其中包含超过5亿个被盗用的密码信息。您可以使用各种资源来将这些泄露的密码与您自己网络中使用的密码进行比较。例如，您可以使用密码过滤器在Active Directory域上为Active Directory安装Lithnet密码保护（LPP），以查看网络上正在使用的密码。然后使用组策略来自定义这些密码的检查。当然，您可以选择“拒绝”或“允许”这些操作。

2. 管理本地管理员密码

企业组织必须清楚地明白管理本地管理员密码的重要性。这些密码在整个网络中不应该完全设置成一样的。为了方便记忆，企业组织可以考虑部署本地管理员密码解决方案（LAPS）。也可以安装Lithnet LAPS Web应用程序，该应用程序提供了一个简单的基于Web的移动友好型界面，用于访问本地管理员密码。

攻击者们知道，一旦他们获得了网络内部的访问权限并获取了本地管理员密码不幸遗留的哈希值，他们便可以在整个网络中进行横向移动。拥有随机分配的密码意味着攻击者将无法执行这种横向移动。

3. 查看并审核NTLM的使用情况

如果您正在使用的是New Technology LAN Manager（NTLM），那么攻击者就可以使用NTLM哈希来访问您的网络。依靠LM或NTLM身份验证与任何通信协议（SMB、FTP、RPC、HTTP等）结合使用，会将您置于此类攻击风险之中。只要您的企业内部存在哪怕一台脆弱设备，攻击者也能够见缝插针，趁虚而入。从Windows 7 / Windows Server 2008 R2开始，默认情况下NTLMv1和LM身份验证协议是禁用的，但是现在，是时候重新检查一下您的设置，以确保您已经授权执行了NTLMv2。您可以使用PowerShell查看网络中NTLM的使用情况。

在组策略中，将值设置如下：

选择“开始”。选择“运行”；
输入GPedit.msc；
选择“本地计算机策略”；
选择“计算机配置”；
选择“ Windows设置”；
选择“安全设置”；
选择“本地策略”；
选择“安全选项”；
滚动到策略“网络安全：LAN Manager身份验证级别”；
右键单击“属性”；
选择“仅发送NTLMv2响应/拒绝LM和NTLM”；
单击“确定”并确认设置更改；

注册表设置值如下：

打开regedit.exe并导航到HKLM \ System \ CurrentControlSet \ control \ LSA。单击LSA。如果在右侧窗格中看不到LMCompatibilityLevel，则可能需要添加新的注册表项。选择“编辑”。
选择“新建”；
选择“ REG_DWORD”；
将“New Value＃1”替换为“ LMCompatibilityLevel”；
双击右侧窗格中的LMCompatibilityLevel；
输入“ 5”代表更改的级别。您可能需要升级打印机上的固件以支持网络中的NTLMv2；

4. 管理“复制目录更改”的访问控制列表

攻击者比我们更了解如何使用我们域中的账户。他们经常会滥用Microsoft Exchange权限组。因此，您需要监视域中关键功能对安全组和访问控制列表（ACL）的更改。审核并监视您域中ACL的任何更改。

当攻击者修改域对象的ACL时，将创建一个ID为5136的事件。然后，您可以使用PowerShell脚本查询Windows事件日志，以在日志中查找安全事件ID 5136：

Get-WinEvent -FilterHashtable @{logname='security'; id=5136}

然后，使用ConvertFrom-SDDL4，它能够将SDDL字符串转换为可读性更高的ACL对象。Server 2016及更高版本提供了一个额外的审核事件，该事件记录了原始和修改后的描述符。

5. 监视与Isass.exe交互的异常进程

最后，监视lsass.exe进程中的异常峰值。域控制器将lsass.exe进程用作域事务的常规过程的一部分。拒绝服务（DoS）和恶意流量可能隐藏在这些进程之中。确定域控制器中的正常状态是监视攻击时间的关键。在域控制器上运行Active Directory数据收集器，以你在网络上看到的正常进程做基线，监视出现的异常进程。

如果想要始终将攻击者挡在门外，首先，我们要对自己的网络及其资源使用情况有个良好的基本认知。正所谓“知己知彼方能百战不殆”，花一些时间来加深理解，才不至于每每让攻击者占据上风。