Pure 新知
什麼是直擊攻擊？

什麼是直擊攻擊？

現代系統儲存雜湊格式的密碼。攻擊者可以傳送系統被盜的雜湊碼，以在沒有純文字密碼的情況下驗證私人應用程式。直擊（PtH）攻擊不需要強制將雜湊值輸入純文字。相反地，攻擊者使用使用者目前的工作階段，或從記憶體取得雜湊碼，通常來自惡意軟體。

什麼是 Pass the Hash？

建立密碼後，作業系統會使用加密安全雜湊將密碼儲存在記憶體中。使用者程式不應該存取雜湊的資料庫，但惡意軟體的編寫是為了繞過這些密碼的安全性和記憶體報廢。使用者驗證後，密碼可能會儲存在記憶體中，以便使用者在特定機器上工作時能驗證應用程式。

直通式攻擊會取得經過驗證的使用者雜湊碼，並用來存取使用者帳戶中的敏感資料或應用程式。PtH 攻擊基本上會冒充使用者，並利用授權協定，如 Kerberos，這些協定用來建立指定給授權使用者的票證。票證告訴系統允許存取，因此，透過使用者雜湊碼，攻擊者通常以惡意軟體的形式存取目標應用程式。

直擊式攻擊如何運作

攻擊者首先需要取得雜湊碼。這通常透過惡意軟體完成。惡意軟體可以透過隨插即用下載或網路釣魚的方式傳遞給目標，而高權限使用者則被誘騙在其系統上安裝。理想情況下，對攻擊者而言，擁有系統管理員存取權限的使用者會安裝惡意軟體。然後，惡意軟體會為活躍的使用者帳戶及其雜湊物報廢記憶體。

有了雜湊碼，惡意軟體就會橫向移動到網路上，冒充經過驗證的使用者。大多數的 PtH 攻擊都適用於單一登入（SSO）系統，在系統中，相同的使用者認證會驗證多個帳戶。目標系統可能會驗證使用者憑證，但失竊的雜湊物卻解決了這個問題。惡意軟體接著會存取任何系統或資料，作為竊取的雜湊對應使用者帳戶。

常見目標與弱點

Windows 機器是 PtH 攻擊最常見的目標。在 Windows 中，新技術區域網路管理器（NTLM）是 Microsoft 安全協定，用於授權多個網路應用程式的使用者。NTLM 容易遭受直擊（PtH）攻擊，因為它會將使用者密碼儲存為雜湊值而不帶鹽分，這是一組隨機加入密碼中的字元，以封鎖雜湊值的暴力攻擊。攻擊者可以從遭入侵的系統中輕鬆擷取這些雜湊碼，並用來驗證使用者身分，而無需知道原始密碼，從而有效地允許他們“通過雜湊碼”存取其他系統和資源，而無需破解密碼本身。這使得 NTLM 成為憑證竊取攻擊的主要目標

NTLM 仍可在較舊的 Windows 作業系統上向後相容，因此新版本的網域控制器仍可能受到 PtH 的影響。任何 Windows 作業系統和服務若使用與 NTLM 的回溯相容性，都容易受到 PtH 的影響。2022 年，Microsoft Exchange 伺服器在 Windows 伺服器遭到惡意軟體和 PtH 入侵後，被橫向移動而入侵。