・Pass the Hash のバックアップ(No.9)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- ・Pass the Hash へ行く。
- 1 (2019-11-14 (木) 13:46:46)
- 2 (2019-11-14 (木) 14:48:00)
- 3 (2019-11-15 (金) 10:00:26)
- 4 (2020-01-28 (火) 15:49:36)
- 5 (2020-01-28 (火) 17:00:20)
- 6 (2020-01-29 (水) 14:59:51)
- 7 (2020-01-30 (木) 11:42:29)
- 8 (2020-02-01 (土) 11:20:36)
- 9 (2020-02-01 (土) 12:48:06)
- 10 (2020-02-09 (日) 17:04:25)
- 11 (2020-02-10 (月) 10:27:24)
- 12 (2020-03-16 (月) 16:48:10)
- 13 (2020-03-19 (木) 14:56:00)
- 14 (2020-03-26 (木) 15:32:39)
- 15 (2020-07-25 (土) 16:33:18)
- 16 (2020-08-12 (水) 14:46:53)
- 17 (2020-08-30 (日) 08:19:05)
- 18 (2020-10-28 (水) 16:48:05)
- 19 (2020-10-29 (木) 17:33:15)
- 20 (2020-11-07 (土) 15:34:32)
IPAセキュリティPT評価版?
・Pass the Hash (作成中) †
戦術 †
水平展開
対象OS †
- Windows
必要なアクセス許可 †
User Administrator
概説 †
Windowsには、Kerberos認証、NTLM認証があります。このうちNTLM認証は、Kerberos認証が使えないドメインに参加していないメンバーサーバーやNASでの認証、ローカルアカウントなどで利用される認証方法です。
このNTLM認証は端末のメモリ、レジストリにパスワードのNTLMハッシュ値を保存します。攻撃者はこのNTLMハッシュ値をツールを利用して窃取し、ログオンの際に、NTLMハッシュ値をベースにした認証情報を送信します。サーバー側も同様の情報を保有しているため、NTLMハッシュ値をベースに送られた認証情報をサーバー側でも計算し、合致すれば正しい資格情報が入力されたとしてログオンを許可します。1
攻撃者は、ツールを使いメモリ上やレジストリのSAM(Security Account Manager、アクセスには管理者権限が必要)のNTLMハッシュ値を取得し、正規のユーザーをなりすましパスワードを利用せず認証情報を計算してサーバーに送信し、ログオンします。
ローカルのAdministratorは端末の管理を容易にするため、全社的に統一されている場合が多く見受けられますが、ローカルのAdministratorのNTLMハッシュ値が取得されると、全社的な水平展開が可能となり、危険です。
緩和の方針 †
Pass the Hash は拡散を防止する観点から、最も重要な防御、緩和策のひとつです。
Mimikatz、PWDump7などの攻撃ツールが公開されており、保存されているパスワードやパスワードのハッシュ値を窃取するために、多角的な攻撃が存在します。このため、多重防御が必要です。
資格情報管理する LSASS プロセスへの攻撃を防ぎ、資格情報を極力保持しないことが重要です。
運用やNetworkが変更された場合の影響の有無 †
各端末において、ローカルのAdministratorのパスワードが同一の場合、拡散のリスクが高まります。
ビルトインAdministratorを使用した場合、攻撃のリスクが高まります。
優先すべき措置 †
①Hashの取得阻止、②取得された場合の水平展開、③垂直展開(特権アカウントに対する侵入)の阻止の観点で防御を講じます。
Hashの取得阻止 †
- Windows Defender Credential Guard (Windows 10の場合、Enterprise Edition のライセンスが必要です。Windows Server 2016/2019はライセンスが付与されています。)
- LSA 保護モードの有効化
- 一般ユーザーをローカル管理者グループから外す
水平展開の阻止 †
- 既定の Local Administrator の無効化
- ローカルアカウントのネットワーク越しの操作制限、ログオン防止
垂直展開の阻止 †
- 組織内の権限の分離
- 特権アカウントの保護
ユーザー運用管理責任 †
リスクの受容 †
Pass The Hash は攻撃者にとって水平展開を図る最も有効な攻撃手法であり、拡散防止の観点からリスク受容は困難です。
啓発・教育 †
「一般ユーザーをローカル管理者グループから外す」ことで、アプリケーションのインストールや各種設定の際に手間が増えますが、最も安価かつ最も攻撃の耐性が高くなることについて、理解を求めてください。また、「一般ユーザーをローカル管理者グループから外す」を実施しないことで、コストの高いシステム監査が必要になることについても理解を得てください。
利用規定 †
端末管理規定に「一般ユーザーをローカル管理者グループから外す」措置を実施しない端末の文書化を追加します。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー ①LSASS保護 + 認証情報の削減 †
| 対策 | 目的 | 対策の効果 | 対策作業量 |
| Windows Defender Credential Guard | 独立した仮想領域に資格情報を隔離します。LSASS プロセスに対する正当なRPC呼び出し以外のアクセスを不可能とすることで、資格情報の窃盗を防ぎます。 ※Windows 10 Enterprise エディションが必要 Windows Defender Credential Guard によるドメインの派生資格情報の保護:https://docs.microsoft.com/ja-jp/windows/security/identity-protection/credential-guard/credential-guard | 非常に高い | 高 |
| LSA 保護モードの有効化 | LSASS プロセスに対する悪意のあるプラグインやコードの挿入を防止し、プロセスが保持している資格情報の窃盗を防ぎます。 (レジストリで有効化) | 高 | 高 |
| 既定の Local Administrator の無効化? | 既知のアカウントを狙った攻撃を防ぎます。 | 高 | 低 |
| 一般ユーザーをローカル管理者グループから外す? | 資格情報窃取やシステムへの攻撃を防ぎます。 | 非常に高い | 高 |
| セキュリティ更新プログラムの適用 | 脆弱性を悪用する攻撃を防ぎます。 ※特に特権昇格、情報漏洩、バイパスの脆弱性 | 中 | 中 |
| 平文パスワードを保存しない | LSASSメモリに平文パスワードを保存しないことで、攻撃者の窃盗を防ぎます。 WDigest authenticationを無効にします。 ※Windows 8.1, Windows Server 2012 R2 以降は既定で有効 | 中 | 低 |
| LM ハッシュを保存しない | LM ハッシュは総当たり攻撃などに対して脆弱であるため、パスワード解析のリスクを減らします。 ※次回のパスワード変更時に LAN Manager のハッシュ値を保存しない ※Vista、Windows Server 2008R2 以降は既定で有効 | 中 | 低 |
| ログオフ後の資格情報消去 | ユーザーのログオフ後に LSASS メモリから消去します。 ※Windows 8.1, Windows Server 2012 R2 以降は既定で有効 | 低 | 高 |
| NTLMプロトコルを無効にする | NTLM 認証を利用しないことで、NTLM ハッシュを悪用する攻撃を防ぎます。 ※NTLM認証に依存する実装は多数あることから、事前に十分な検証と使用実態の監査が必要です。 ネットワーク セキュリティ: NTLM を制限する: 着信 NTLM トラフィックを監査する:https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-audit-incoming-ntlm-traffic | 低 | 高 |
| ARSO 無効化 | Windows 8.1 以降の Automatic Restart Sign-On (ARSO) による資格情報保持を無効化します。 | 中 | 低 |
ポリシー ②水平展開の阻止 †
| 対策 | 目的 | 対策の効果 | 対策作業量 |
| 異なるローカル管理者アカウント資格情報 Local Administrator Password Solution | 攻撃者がドメイン内の異なる端末へ侵入を広げる機会を減らす | 高 | 中~高 |
| ローカルアカウントのネットワーク越しの操作制限、ログオン防止 | 遠隔地にいる攻撃者がローカル管理者を悪用することを防ぐ ※新しい well-known SIDs の活用 | 高 | 中 |
ポリシー ③縦展開防止対策 †
| 対策 | 目的 | 対策の効果 | 対策作業量 |
| 組織内の権限を分離する | 攻撃者がドメイン内の異なる端末へ侵入を広げる機会を減らす | 非常に高い | 高 |
| 特権アカウントの保護 | 特にドメイン管理権限を保護 | 非常に高い | 中 |
| 高い権限を持つ端末の要塞化 | 高い権限を扱う端末を要塞化することで攻撃者の機会を減らす | 高 | 中~高 |
| リモートセッション資格情報保護 | 侵害にあっている端末へ接続をしてくるユーザーの資格情報を盗まれないようにする | 高 | 中 |
NWデザイン †
アクセスコントロール †
フィルタリング †
ロール運用 †
マイクロソフト セキュリティ アドバイザリ 3062591 Local Administrator Password Solution (LAPS) の提供を開始:https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3062591?redirectedfrom=MSDN
仮想端末運用 †
エンドポイント対策 †
受託開発ベンダー管理責任 †
セキュアコーディング †
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。