TA577 改变策略:通过网络钓鱼电子邮件窃取 NTLM 哈希值

阅读量37332

发布时间 : 2024-03-06 11:00:52

安全公司Proofpoint 发现 TA577 组织改变了攻击策略。黑客现在使用网络钓鱼电子邮件窃取 NT LAN Manager ( NTLM ) 身份验证哈希值,从而实现帐户接管。

具体来说,在 2024 年 2 月 26 日至 27 日的两波攻击中,该组织向全球数百个组织发送了数千封电子邮件,目的是窃取员工 NTLM 哈希值。

NTLM 哈希在 Windows 中用于身份验证和会话安全。攻击者可以使用窃取的哈希值来破解密码或进行“哈希传递”攻击,从而无需解密密码即可对远程服务器进行身份验证。

攻击方法涉及发送看似对受害者之前的消息进行回复的网络钓鱼电子邮件,这种技术称为线程劫持。电子邮件中附有唯一的(对于每个受害者)ZIP 存档,其中包含 HTML 文件,这些文件使用 META 刷新元标记来触发与SMB服务器上的文本文件的自动连接。当 Windows 设备尝试连接到服务器时,此技术允许网络犯罪分子窃取 NTLM 哈希值。

Proofpoint 强调,攻击者传递恶意档案以绕过 2023 年 7 月后更新的电子邮件客户端的保护。值得注意的是,攻击的目标正是捕获 NTLM 哈希值,而不是传播恶意软件。

专家指出,为了在网络攻击中使用窃取的哈希值,必须禁用帐户的多重身份验证 (MFA)。还有人建议,窃取哈希值可以作为一种情报形式来识别有价值的受害者。

建议的安全措施包括配置电子邮件过滤以阻止包含存档 HTML 文件的邮件,以及配置防火墙以阻止传出 SMB 连接(通常是端口 445 和 139)。对于 Windows 11 用户,微软引入了一项额外的安全功能,以防止通过 SMB 进行基于 NTLM 的攻击。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66