您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 最新公告列表

駭客利用Pass-the-Ticket手法進行內部擴散攻擊,請加強網域伺服器安全防護

近期發現駭客在入侵機關網域伺服器(DC,Domain Controller),取得系統內處理使用者身分認證之預設帳號krbtgt所對應的密碼雜湊值後,即可任意登入網域內的所有主機,在機關內部進行擴散攻擊。

依實際案例與相關研究資料顯示,駭客首要條件需成功入侵DC,取得主機管理者權限後才能從中擷取預設帳號krbtgt的密碼雜湊值,進而施行後續Pass-the-Ticket手法,達到內部擴散的目的。請各級政府機關加強DC防護並留意DC內具管理者權限帳號之登入使用狀況,避免密碼遭竊取後所帶來的攻擊。

影響平台:

Windows作業系統

建議措施:

1.    確認DC主機之安全性

a.  確認DC主機內具管理者權限帳號的登入來源與使用狀況是否存在異常

b.  檢測DC狀況,確認是否存在惡意程式或其他入侵跡象

2.    若DC遭入侵,則建議應採取以下應變措施

a.  參考微軟提供之DC建置安全作業要點進行DC重建作業,網址如下: https://technet.microsoft.com/en-us/library/dn487446.aspx

b.  重新設定DC內預設帳號krbtgt密碼兩次,重設後應重開機以確保設定啟用;依微軟建議,兩次設定間隔應在10至12小時,可參考以下兩種密碼更改方式

   (1).   手動更改krbtgt密碼,步驟可參考104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例分享簡報p.43~p.44,網址如下:http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251

   (2).   可利用微軟提供之powershell工具重新設定krbtgt密碼,網址如下:https://gallery.technet.microsoft.com/Reset-the-krbtgt-account-581a9e51#content

3.    重新檢視DC管理維運方式

a.  以本機登入操作為主,避免遠端登入進行管理

b.  限縮DC內具管理者權限帳號之使用

c.  定期檢視系統內管理者權限帳號之登入與使用狀況

參考資料:

l   104年第2次政府資通安全防護巡迴研討會議題二-近期駭客攻擊案例(Pass-the-Ticket)分享

-   http://www.nccst.nat.gov.tw/HandoutDetail?lang=zh&seq=1251

l   微軟技術文件

            -   https://technet.microsoft.com/en-us/library/dn487446.aspx

Publish Date
2016/1/21 15:35:10