访问控制攻击
时间:2023年5月5日 星期五
作者:小王
一、常见访问控制攻击
1.特权提升
攻击者使用权限特殊技术获取非预期权限,如普通用户权限提升为管理员权限。权限提升分两类:
• 水平权限提升(horizontal privilege escalation):攻击者获得内网服务器普通用户权限后,通过横向渗透获取其他服务器的普通用户权限。
• 垂直权限提升(vertical privilege escalation):攻击者获得内网服务器普通用户权限后,通过该服务器其他漏洞获得管理员权限。
减少特权命令执行
• Linux中普通用户可使用su或sudo以管理员权限执行命令。
• Windows中的PowerShell常被利用执行无文件攻击。
2.密码攻击
• 字典攻击(Dictionary Attack):使用弱密码库进行密码尝试攻击。
• 爆力破解(Brute-Force Attack):尝试各类字符的可能组合进行密码尝试攻击。
• 喷射攻击(Spraying Attack):爆破攻击的一种,可尝试绕过账户锁定策略,即账户A爆破失败锁定后,对账户B爆破锁定后,再对账户C爆破,直到账户A的锁定时间到后再对A进行爆破。
• 凭证填充攻击(Credential Stuffing Attack):即撞库攻击,由于用户在不同网站或系统的密码基本是一样的,所以当其中一个网站或系统的密码被拿到后,可尝试用该账号密码登录其他网站或系统。
• 生日攻击(Birthday Attack):利用散列算法的碰撞缺陷绕过身份验证。
• 彩虹表攻击(Rainbow Table Attack):密码通常以哈希值进行存储,利用彩虹表可减少计算哈希的时间来提高密码爆破的效率。
• Mimikatz:一款针对Windows的渗透测试工具,拥有以下功能:
-从内存中读取密码
-提取Kerberos票据
-提取证书和私钥
-从内存中读取LM和NTLM密码哈希值
-从LSASS中读取明文密码
-列出正在允许的进程
• 哈希传递攻击(Pass-the-Hash Attack,PtH):攻击者将捕获的密码哈希值发送到身份验证服务,以尝试绕过身份验证机制。
• Kerberos漏洞利用攻击:攻击Kerberos的工具有Mimikatz、Rubeus(针对Windows)、Impacket(针对Linux)。
-跨越哈希(Overpass the Hash):也被称为传递密钥(pass the key),在禁用NTLM使用PtH(pass the hash,传递哈希)攻击的替代方法,可以绕过身份验证获取TGT。
-传递票据(Pass the Ticket):攻击者试图获取lsass.exe进程中持有的票据,然后模拟用户尝试访问网络资源。
-白银票据(Silver Ticket):攻击者获取服务账户的NTLM哈希值,就可以伪造TGS票据,可获取服务账户的所有特权。
-黄金票据(Golden Ticket):攻击者获取Kerberos服务账户(KRBTGT)的哈希值,就可以伪造任何票据,想访问什么服务都可以。
-爆破攻击(Brute-Force):针对用户名和密码的爆破攻击。
-AS-REP Roast:AS-REP Roast是针对用户账号进行离线爆破的攻击方法,仅在未开启Kerberos预身份验证有效。Kerberos预身份验证是Kerberos中的一项安全功能,可帮助预防密码猜测攻击。
-Kerberoasting:该攻击收集加密的TGS票据(服务账户使用),尝试进行爆破,并试图查找未开启预身份验证的用户。
PS:TGS tickets就是service ticket(即服务票据)。
• 嗅探攻击(Sniffer Attack):通过捕获网络通信中的数据包进行分析。
3.欺骗攻击
• 电子邮件欺骗(Email Spoofing):伪造电子邮件的发件人,诱使用户相信,常见于垃圾邮件或钓鱼邮件。
• 电话号码欺骗(Phone Number Spoofing):伪造来电号码欺骗接听者,常见于电信诈骗或电话钓鱼。
二、核心保护方法
1.控制访问
控制物理和逻辑访问,物理方面如使用门禁等,逻辑访问如使用防火墙。
2.密码策略
• 强密码:长度超过8位,采用大小写、符号和数字组合。
• 账户锁定:多次登录失败锁定账户,延长爆破攻击时间。
• 上次登录通知:登录提示上次登录的信息,可以发现可疑登录行为。
• 多因素身份验证:采用多因素身份验证提高强度。
3.密码保护
• 散列:加密密码。
• 盐和胡椒:增加加密密码的随机性,盐本地存储,胡椒第三方存储。
• 密码屏蔽:屏幕不能以明文显示密码,且不能复制密码框内的字符。
4.安全培训
适当的培训有助于员工更好的理解安全的必要性以及为员工提供安全指导。