หากเรา sign in เข้าเครื่องใด hash password ของ account ที่ใช้ sign in จะถูกบันทึกลงบนหน่วยความจำของเครื่อง
PtH
ในบรรดา client หลายพันเครื่อง ถึงแม้ว่าเราจะดูแลอย่างดี, patch อย่างสม่ำเสมอ, และตั้งค่าความปลอดภัยต่างๆ อย่างรัดกุมแล้ว ก็อาจพลาด ถูก hacker ยึดเครื่องได้ ด้วยวิธีการใดวิธีการนึงครับ
ซึ่งหากเราพลาด ใช้ account ผู้ดูแลระบบ เช่น domain admin sign in เข้าเครื่องที่โดนถูก hacker ยึดไปแล้ว ก็จะเป็นจุดเริ่มต้นของการขโมย hash password บน memory ของเครื่องไปใช้
Hacker อาจจะนำ hash password ไปสร้าง shell ที่มีสิทธิ์เทียบเท่า domain admin
แล้วสร้าง account ที่ domain admin ตัวจริงก็ไม่กล้สลบ เพราะสับสนว่าเป็น account จริง หรือปลอม เช่น hacker ตั้งชื่อว่า ADAdmin
แล้วก็จับ ADAdmin ไปเป็นสมาชิกของ Administrators group บน AD DS
จากนั้นก็แอบ sign in เข้า domain controller หรือ เครื่อง server อื่นๆ ที่สำคัญ และดำเนินการอะไรก็ได้ ตามใจที่อยากทำ ในช่วงเวลาที่เราไม่รู้ตัว
และเนื่องจาก hacker ไม่ต้องทราบ password จริงของ domain admin แต่ใช้ hash ที่อยู่บน memory ในการโจมตี เราจึงเรียการโจมตีแบบนี้ว่า Pass-the-Hash (PtH) attack ครับ
https://attack.mitre.org/techniques/T1550/002
Mitigation
ในฐานะผู้ดูแลระบบ เราสามารถลดความเสียงได้หลายวิธี แต่มี 2 เรื่อง ที่เราสามารถทำได้ก่อนเลยโดยไม่ต้องรอ ก็คือ
1. หลีกเลี่ยงการใช้ account ผู้ดูแลระบบ sign in เข้าเครื่องลูกข่าย
โดยเริ่มนโยบายการแบ่ง computer เป็น tier เช่น tier 0 เป็น domain controller, tier 1 คือ member server, และ tier 2 คือ client
แล้วกำหนดให้ผู้ดูแลระบบแยก account ที่ใช้บริหารจัดการ tier 0, 1, 2, และการใช้งานในฐานะผู้ใช้งานทั่วไปออกจากกัน
แล้วตั้งค่าผ่าน GPO เพื่อป้องกันการนำ account tier ที่สูงไป sign in เข้า computer tier ที่ต่ำกว่า เช่น ปฏิเสธการนำ tier 0 account ไป sign in บน tier 1 server หรือ tier 2 computer ต่อไป เป็นต้น
2. เปิดใช้งาน LAPS (Local Administrator Password Solution)
เพื่อป้องกันการตั้ง password ของ local admin ที่เหมือนกันบน client ทุกเครื่องในบริษัท ช่วยชะลอความเร็วของ lateral movement
เพราะเราคงไม่อยากให้เกิดเหตุการณ์ client ถูก hack 1 เครื่อง แล้ว hacker ใช้ local admin password ที่เหมือนกันจาก client เครื่องแรก เข้าไปยึดอีก 1,000 เครื่องที่เหลือด้วยความรวดเร็ว โดยไม่ทันตั้งตัว แล้วรอดัก hash password ของผู้ดูแลระบบที่ sign in เข้ามา 1 ใน 1,000 เครื่องนี้
นอกจากนี้ยัง PAW และ credential guard ที่เราอาจวางแผนทำต่อไปในอนาคตครับ
A sample video
ที่มา
