Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1550 , T1550.001 , T1550.002 , T1550.003 , T1550.004
Злоумышленники могут "передавать хэш", используя украденные хэши паролей для перемещения внутри среды в обход обычных средств контроля доступа. Pass the hash (PtH) - это метод аутентификации пользователя без доступа к его паролю в открытом виде. Этот метод позволяет обойти стандартные этапы аутентификации, требующие ввода пароля в открытом виде, и перейти непосредственно к той части аутентификации, которая использует хэш пароля.
При выполнении PtH хэши действительных паролей для используемой учетной записи перехватываются с помощью техники Credential Access. Полученные хэши используются в PtH для аутентификации пользователя. После аутентификации PtH может быть использован для выполнения действий в локальной или удаленной системе.
Злоумышленники также могут использовать украденные хэши паролей для "обхода хэша". Как и в случае с PtH, для аутентификации пользователя используется хэш пароля, но при этом хэш пароля используется для создания действительного билета Kerberos.Затем этот билет может быть использован для выполнения атак Pass the Ticket.(Цитата: Stealthbits Overpass-the-Hash)
https://attack.mitre.org/techniques/T1550/002
Визуализация смежных техник для T1550.002
| № | Техника |
|---|
