在本文中，我们将解释如何使用Windows事件查看器检测Pass-the-Hash（PTH）攻击，并引入一个新的开源工具来帮助检测。PTH是一种攻击技术，允许攻击者通过NTLM协议在网络中开始横向移动，而不需要用户密码。我们评估了许多合法和非法的（PTH）NTLM连接情况，以了解这些差异以及如何区分这些差异。

根据我们的研究结果，CyberArk实验室创建了一个免费的可用工具（Ketshash）用于检测实时PTH尝试。

无需密码验证

Windows操作系统存储来自用户密码的不同类型的散列，以允许访问不同的服务，而不需要重新输入密码。其中一种散列类型是密码的MD4散列，也称为NTLM散列。

NTLM协议使用NT哈希进行身份验证，并不会使用“明文密码”，这意味着如果抓取HASH值，则可以在不知道实际密码的情况下进行身份验证。

恶意行为者也可以通过传递密码来验证密码。在考虑PTH时，有两个主要的选择：

2. 实施NTLM协议的一部分用于散列验证，并通过SMB，WMI等协议通过网络发送命令。

来自事件查看器的合法连接

事件查看器包含多个表示交互式登录的日志：

4768 – 请求了Kerberos身份验证票证（TGT）

4769 – 请求了Kerberos服务票据（TGS）

4648 – 尝试使用显式凭据进行登录

4624 – 帐户已成功登录

登录类型：2（Interactive），7（Unlock），10（RemoteInteractive）或11（CachedInteractive）。

根据上述日志检查每个NTLM连接在连接之前是否使用同一个帐户进行交互式登录，可以帮助区分使用散列的攻击者和使用密码的规范用户。

一些NTLM连接比其他连接更危险

通过与非特权帐户的NTLM连接创建的登录会话的风险低于具有特权帐户的登录会话。例如，事件ID 4672（“分配给新登录的特权”）让我们知道特权帐户何时登录。创建NTLM连接和事件ID 4672之间的关联，将筛选可以在目标计算机中进行更改的所有特权NTLM连接。

检测传递哈希