パス・ザ・ハッシュ 概要
高度標的型攻撃において、ユーザーのパスワードのハシシュ値を利用してリモートホストへ認証し侵入する攻撃手口のこと。
Windowsの認証システムでは、ユーザーが入力したパスワードから生成されたハシシュ値を比較することで、ログオンの可否を判定します。
ハシシュ値はメモリ上の認証情報を管理するプロセスに一時的に保存されます。
この仕様を悪用し、窃取したハシシュ値を使って他のPCやサーバになりますましログオンをするのがパス・ザ・ハッシュなのです。
パス・ザ・ハシシュの攻撃手口
- 侵入したPCのメモリ上から、パスワードのハッシュ値を搾取。
- 搾取したハッシュ値を利用して、標的PCになりすまし、ネットワーク接続されたPCへのログオンを行う。
- なりすましログオンを繰り返し、ネットワーク内での勢力を広げていく。
標的PCのメモリ上には、標的組織ネットワーク内のサーバや他PCへのログオンパスワードのハシシュ値も保存されているのが一般的です。
攻撃者は標的PCへの侵入に成功すると、まずはメモリ上に保存されたハシシュ値を出力(ダンプ)します。
こうして窃取したハシシュ値と攻撃用ツールを組み合わせることによって、標的組織ネットワーク内のサーバなどになりすましログオンを行うのです。
背景と事例
1997年、PaulAshton氏が発表した論文が発端となっています。
2008年にこの技術をHernanOchoa氏が昇華させました。
ツール「Pass-the-Hash Toolkit」を公開し、ローカルセキュリティ機関によってメモリ上にキャッシュされたユーザー名やドメイン名、パスワードハシシュを、ユーザー認証後に変更できるようにしたのです。
日本でもこの頃から高度標的型攻撃が確認され始めました。
この攻撃はWindowsの共有を行う際の、PC同士が相互にログオンし合うというファイル共有の仕組みを利用していることで知られています。
若干の技術的な変化はありますが、2008年以降のこの仕組みを利用した標的組織ネットワーク内での横展開に関して動向は概ね同様といえます。
こういった意味で、被害の甚大化を防止を行う上でのWindowsファイル共有に対するセキュリティ対策の強化は、効果が期待できそうです。