SOMPO CYBER SECURITY
パス・ザ・ハッシュ攻撃(Pass the Hash Attack)は、主にWindowsの認証システムに対して行われる攻撃です。
攻撃者はパスワードハッシュを取得することにより、標的ユーザーや管理者のパスワードを推測することなく認証をバイパスし、水平展開を行います。
Windows OSで用いられるLMあるいはNTLM認証は、入力されたパスワードをハッシュ化し、そのハッシュ値をシステムの特定領域に保存します。攻撃者は、Mimikatzなどの攻撃ツールを利用し、保存されたハッシュ値を取得します。これにより、パスワード自体を入手せずとも、ハッシュ値を用いることでシステムの認証を突破することができます。
Windows OSは、よりセキュアな認証方式としてKerberosを採用していますが、パス・ザ・ハッシュ攻撃で得た権限を元にKerberos認証を破る手法としてパス・ザ・チケット攻撃が生み出されました。
なおNTLM認証は現在もWindowsの一部機能において利用されているため、この攻撃は有効性を保持しています。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年2月 2024年2月、ロシア語のダークウェブ・フォーラムXSSにおいてBeastランサムウェアの宣伝投...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年2月 2024年2月19日、親ロシアのハクティビスト・グループであるNoName057(16)が自身の...