Pass Labs PTT的問題，透過圖書和論文來找解法和答案更準確安心。 我們找到下列懶人包和總整理

以企業網路威脅模擬環境之實驗案例探討Windows憑證傳遞Pass-the-Ticket攻擊

為了解決Pass Labs PTT的問題，作者宋皓榮 這樣論述：

大部分組織皆導入目錄服務(Directory Service)進行組織網路之集中化管理，然由於集中化管理的便利性與集中性使得該架構成為攻擊者首要入侵標的，因為一旦獲得目錄服務之所有權即可完全掌握目標組織網路。目錄服務中尤以微軟活動目錄服務(Active Directory, AD)最為廣泛使用，雖然微軟的Active Directory 網域服務(Active Directory Domain Services, AD DS)提供了比NTLM (NT LAN Manager)更安全的Kerberos驗證機制，但因其架構的缺陷致使現今利用Kerberos的弱點來進行提權(Escalate Pr

ivileges)、內部擴散(Lateral Movement)、取得企業網路所有權等攻擊，如FireEye在M-Trends 2015年威脅報告指出。當使用者欲存取某特定網域服務時，必須先使用帳號密碼雜湊(NTLM Hash Value)向金鑰分發中心(Key Distribution Center, KDC)的認證服務(Authentication Service)來取得索票憑證(Ticket-Granting-Ticket, TGT)，再透過TGT跟KDC的服務票證授予伺服器(Ticket Granting Service, TGS) 來取得服務票證TGS，最後藉由此TGS來取得網域服務

使用權。然而Windows Kerberos驗證機制會將TGT與TGS快取存放至使用者本機的檔案中或本機安全授權服務(Local Security Authority Subsystem Service, LSASS)的行程記憶體中，且預設10個小時內是有效的，因此攻擊者可以從該使用者本機電腦的快取檔案或經由LSASS注入從記憶體竊取出TGT與TGS等認證資訊，透過傳遞憑證或服務票證(Pass-the-Ticket, PtT)技術即可順利取得該使用者具有授權的網域服務，更甚者從盜取的AD DS伺服器中從KDC取出具有憑證管理最高權限的krbtgt帳號與密碼等資訊來建立網域最高權限票證(稱為Go

lden Ticket)，並藉此票證取得目標網域所有控制權。時至今日，PtT與Golden Ticket攻擊依然是目前攻擊鏈(Kill Chains)中提權(Escalate Privileges)與內部擴散(Lateral Movement)常用手法之一，可見PtT等攻擊手法、技術工具與程序以及對應的防禦策略依然是目前極具挑戰的研究議題。本論文主要透過建置PtT企業網路威脅模擬環境(Enterprise Cyber PtT Threat Labs)以實驗案例(Hands-on Labs)來綜合探討PtT所利用之Windows Kerberos驗證機制行為、PtT弱點利用原理、PtT攻擊設計與

模擬場域實作、以及透過稽核日誌來分析正常驗證行為與PtT攻擊行為之可識別特徵。研究結果顯示，我們除了從實驗案例的日誌分析到PtH的可識別特徵外，本論文所提出的模擬環境與實驗案例分析亦有助於資安從業人員從實務案例中學習駭客思維，進而有效提升防禦駭客攻擊之能力來有效降低企業網路之資安威脅。

以企業網路威脅模擬環境之實驗案例探討Windows雜湊傳遞Pass-the-Hash攻擊

為了解決Pass Labs PTT的問題，作者黃冠龍 這樣論述：

導入目錄服務(Directory Service)有助於企業網路集中化、單一入口簽入、統一帳號權限控管、第三方服務驗證整合等管理，其中尤以微軟活動目錄服務(Active Directory, AD)最為廣泛使用，然而集中化便利與安全性的衡量是目前企業資訊管理所面臨最大的挑戰。雖然微軟的網域控制服務(Domain Controller Service)結合AD的驗證機制(AD DS)提供了系統存取控制的便利性安全架構，然其本機安全性授權服務行程(Local Security Authority Subsystem Service, LSASS)會在記憶體中儲存登入憑證資訊(Login Cred

entials)，例如帳號名稱與LM/NTLM密碼雜湊值(Hash Value)，經由LSASS注入惡意代碼從其記憶體盜取儲存的密碼雜湊值即可無需明文密碼而可直接透過傳遞雜湊(Pass-the-Hash, PtH)進行冒名驗證攻擊以取得本機或遠端電腦服務控制權，其主要利用雜湊加密與驗證協定等弱點，任何接受LM/NTLM認證之作業系統皆可被PtH攻擊，因為LM/NTLM是直接傳遞密碼雜湊進行挑戰應答型認證 (Challenge-Response Authentication)。PtH攻擊起源於1997年由Paul Ashton在Bugtraq所提出，然時至今日，FireEye於2016年的M-T

RENDS的報告中顯示，PtH攻擊依然是目前攻擊鏈(Kill Chains)中提權(Escalate Privileges)與內部擴散(Lateral Movement )常用手法之一，可見了解PtH的攻擊手法、技術工具與程序以及對應的防禦策略依然是目前重要的研究主題。本論文主要透過建置PtH企業網路威脅模擬環境(Enterprise Cyber PtH Threat Labs)以實驗案例(Hands-on Labs)來綜合探討PtH所利用之Windows LM/NTLM驗證機制行為、PtH弱點利用原理、PtH攻擊設計與模擬場域實作、以及更進一步透過稽核日誌來分析正常驗證行為與PtH攻擊異常行

為之可識別特徵。研究結果顯示，除了從實驗案例的日誌分析到PtH的可識別特徵外，本論文所提出的企業網路威脅模擬環境與實驗案例實務分析亦有助於資安從業人員從實務案例中學習駭客思維，進而有效提升防禦駭客攻擊之能力來有效降低企業網路之資安威脅。