資安訊息:駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護
2016/01/21
風險等級: 資安訊息
摘  要: 【細節描述】
HiNet SOC 接獲技服中心警訊通知,近期發現駭客在入侵機關網域伺服器(DC,Domain Controller) ,取得系統內處理使用者身分認證之預設帳號krbtgt 所對應的密碼雜湊值後,即可任意登入網域內的所有主機,在機關內部進行擴散攻擊。

依實際案例與相關研究資料顯示,駭客首要條件需成功入侵DC ,取得主機管理者權限後才能從中擷取預設帳號krbtgt 的密碼雜湊值,進而施行後續Pass-the-Ticket 手法,達到內部擴散的目的。HiNet SOC 建議管理者加強DC 防護並留意DC 內具管理者權限帳號之登入使用狀況,避免密碼遭竊取後所帶來的攻擊。

【解決方式】
1.確認DC 主機之安全性
a.確認DC 主機內具管理者權限帳號的登入來源與使用狀況是否存在異常
b.檢測DC 狀況,確認是否存在惡意程式或其他入侵跡象

2.若DC 遭入侵,則建議應採取以下應變措施
a.參考微軟提供之DC 建置安全作業要點進行DC 重建作業,網址如下: https://technet.microsoft.com/en-us/library/dn487446.aspx
b.重新設定DC 內預設帳號krbtgt 密碼兩次,重設後應重開機以確保設定啟用;依微軟建議,兩次設定間隔應在10至12小時,可參考以下兩種密碼更改方式
(1) 手動更改krbtgt 密碼,步驟可參考104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例分享簡報p.43~p.44,網址如下: http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251
(2) 可利用微軟提供之powershell 工具重新設定krbtgt密碼,網址如下: https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51#content

3.重新檢視DC 管理維運方式
a.以本機登入操作為主,避免遠端登入進行管理
b.限縮DC 內具管理者權限帳號之使用
c.定期檢視系統內管理者權限帳號之登入與使用狀況

【參考資料】
1.104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例(Pass-the-Ticket)分享
2.微軟技術文件
3.技服中心