Me preguntaba qué están haciendo ustedes para detectar ataques como Pass-The-Hash dentro de su red. He leído sobre Breachbox
y estaría interesado en escuchar sus pensamientos sobre cómo detectar el ataque. Para aquellos que no han encontrado la forma de arreglar Pass-the-Hash scriptjunkie es una excelente lectura
En primer lugar, recomiendo enormemente este artículo , que proporciona conocimientos sobre los aspectos básicos de algunos de los ataques más comunes, pero también cubre el ataque de paso de hash de forma admirable. Ahora, me parece que tiene miedo de que alguien (de forma remota) obtenga acceso de administrador a su computadora y descargue sus hashes en su Lsass. No tienes que preocuparte por esto. Si un atacante tiene admin. Al acceder a su computadora, él podría (y probablemente preferiría) emplear un keylogger u otro programa similar para no solo descubrir esa contraseña, sino también todos sus otros nombres de usuario y contraseñas. Esto podría ser mitigado a un proceso (un favorito parece ser explorer.exe) y ejecutarse directamente desde su memoria física, por lo que es indetectable para AV. Realmente, la forma más plausible de evitar que alguien obtenga cualquier tipo de acceso remoto a su computadora es mantener todos sus programas actualizados y obtener un buen programa AV (Kaspersky, Avast y AVG tienen buena reputación). Si malinterpreté su declaración, responda y trataré de responderle.
Realmente no puedes detectar o prevenir los ataques de paso de hash. Puede descubrir dónde en su red los ataques Pass-the-hash serían los más destructivos. / p>
He oído hablar de organizaciones que tienen miedo de los ataques de acceso directo (o que han sido golpeados por ellos continuamente) que tienen una política para que los administradores cambien las contraseñas de NT después de cada uso.