日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用Ketshash檢測可疑的特權(quán)NTLM連接

關(guān)于Ketshash

Ketshash是一款針對NTLM安全的分析與檢測工具,該工具可以幫助廣大研究人員基于事件查看器日志來分析和檢測可疑的特權(quán)NTLM連接,尤其是Pass-The-Hash攻擊。

該工具作為“Pass-The-Hash detection”研究的一部分,以完整開源的形式發(fā)布給廣大研究人員使用。

該工具可以基于下列信息來實現(xiàn)其功能:

1、受監(jiān)控計算機(jī)上的安全事件日志(登錄事件);

2、活動目錄中的身份驗證事件;

工具要求

該工具的使用要求用戶賬號擁有下列權(quán)限:

1、訪問遠(yuǎn)程計算機(jī)的安全事件日志;

2、活動目錄的讀取權(quán)限(標(biāo)準(zhǔn)域帳戶);

3、計算機(jī)在同一時間同步,否則會影響結(jié)果;

4、至少安裝并配置好PowerShell 2.0;

工具下載

該工具是一個PowerShell腳本,因此我們只能在支持PowerShell 2.0+的設(shè)備上使用該工具。

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

git clone https://github.com/cyberark/ketshash.git

工具使用

基礎(chǔ)使用

打開PowerShell窗口,并運(yùn)行下列命令:

Import-Module .\Ketshash.ps1

或者,將Ketshash.ps1的內(nèi)容拷貝到PowerShell會話窗口中。

除此之外,也可以直接運(yùn)行下列命令來使用Ketshash:

Invoke-DetectPTH

Ketshash Runner

1、確保Ketshash.ps1在KetshashRunner.exe的同一目錄下;

2、雙擊KetshashRunner.exe,根據(jù)需要修改設(shè)置,并點擊運(yùn)行;

Invoke-DetectPTH使用

參數(shù)解釋

Targetcomputers:要檢測NTLM連接的目標(biāo)計算機(jī)數(shù)組;

TargetComputersFile:包含要檢測NTLM連接的目標(biāo)計算機(jī)列表的文件路徑;

StartTime:檢測開始的時間,默認(rèn)值為當(dāng)前時間;

UseKerberosCheck:檢查組織DC上的TGT\TGS登錄;

UseNewCredentialsCheck:檢查登錄類型為9的登錄事件(如Mimikatz)。這是可選的,默認(rèn)算法已經(jīng)涵蓋了它。它的存在只是為了顯示另一個檢測可疑NTLM連接的選項。在Windows版本10和Server 2016上,應(yīng)在事件查看器中啟用“Microsoft Windows LSA/操作”。在Windows 10和Server 2016上,啟用“內(nèi)核對象審計”將提供更準(zhǔn)確的信息,例如寫入LSASS;

LogFile:保存結(jié)果的日志文件路徑;

MaxHoursOfLegitLogonPriorToNTLMEvent:自NTLM事件發(fā)生后,需要多少小時才能向后查看并搜索合法登錄,默認(rèn)值為向后2小時;

使用樣例1(推薦)

Invoke-DetectPTH -TargetComputers "MARS-7" -LogFile "C:\tmp\log.txt"

使用樣例2

Invoke-DetectPTH -TargetComputers "ComputerName" -StartTime ([datetime]"2017-12-14 12:50:00 PM") -LogFile "C:\tmp\log.txt" -UseKerberosCheck -UseNewCredentialsCheck

工具調(diào)試

由于該工具使用線程工作,因此不太可能對主功能腳本塊進(jìn)行調(diào)試。但是我們可以在Detect-PTHMultithreaded之前使用Invoke-Command調(diào)試:

Invoke-Command -ScriptBlock $detectPTHScriptBlock -ArgumentList $TargetComputers, $startTime, $LogFile, $UseKerberosCheck, $UseNewCredentialsCheck, $MaxHoursOfLegitLogonPriorToNTLMEvent`

僅檢測一個目標(biāo)計算機(jī):

Invoke-DetectPTH -TargetComputers "" ...

將$TargetComputer從[array]修改為[string],這樣就可以在腳本塊中使用斷點來調(diào)試了。

工具使用演示

使用演示:【點我觀看】

許可證協(xié)議

本項目的開發(fā)與發(fā)布遵循GPL-3.0開源許可證協(xié)議。

項目地址

Ketshash:【GitHub傳送門】

參考資料

https://www.cyberark.com/threat-research-blog/detecting-pass-the-hash-with-windows-event-viewer

https://www.cyberark.com/resource/pass-hash-detection-using-windows-events/

http://lp.cyberark.com/rs/cyberarksoftware/images/wp-Labs-Pass-the-hash-research-01312018.pdf


網(wǎng)站欄目:如何使用Ketshash檢測可疑的特權(quán)NTLM連接
本文網(wǎng)址:http://m.5511xx.com/article/cdshsjc.html