Mi stavo chiedendo cosa state facendo voi per rilevare attacchi come Pass-The-Hash all'interno della vostra rete. Ho letto su Breachbox
e sarebbe interessato a sentire i tuoi pensieri su come rilevare l'attacco. Per coloro che non hanno incontrato come risolvere Pass-the-Hash scriptjunkie è un'ottima lettura
Prima di tutto, consiglio vivamente questo articolo , che fornisce informazioni sulle basi di alcuni degli attacchi più comuni, ma copre anche l'attacco pass-the-hash abbastanza ammirevolmente. Ora, mi sembra che tu abbia paura che qualcuno (da remoto) possa ottenere l'accesso come amministratore al tuo computer e scaricare i tuoi hash nel loro Lsass. Non devi preoccuparti di questo. Se un utente malintenzionato ha un amministratore. accesso al tuo computer, potrebbe (e probabilmente preferirebbe) impiegare un keylogger o un altro programma di questo tipo per scoprire non solo quella password, ma tutti gli altri nomi utente e password. Questo potrebbe essere mitigato da un processo (un preferito sembra essere explorer.exe) ed essere eseguito direttamente dalla memoria fisica, rendendolo quindi non rilevabile in AV. In realtà, il modo più plausibile per impedire a qualcuno di ottenere qualsiasi tipo di accesso remoto al computer è di mantenere tutti i programmi aggiornati e ottenere un buon programma AV (Kaspersky, Avast e AVG hanno una buona reputazione). Se ho interpretato erroneamente la tua affermazione, ti preghiamo di rispondere e cercherò di risponderti.
Non puoi realmente rilevare o prevenire attacchi Pass-the-hash. Puoi scoprire dove sulla tua rete gli attacchi pass-the-hash sarebbero i più distruttivi.
Ho sentito parlare di organizzazioni talmente spaventate da attacchi pass-the-hash (o che sono state continuamente colpite da loro) che hanno una politica per gli amministratori di cambiare le password NT dopo ogni utilizzo.