蜂蜜的凭证

蜂蜜凭据存在于资产上,而不是在Active Directory上。密码存在于您的资产中。攻击者可以使用工具从资产中获取这些密码,然后在其他地方尝试访问其他资源。蜂蜜证书是假的证书,如果使用它们会引起警报。

想了解更多关于蜂蜜的细微差别,看看我们的博客

在你开始之前

为了使用蜂蜜证书欺骗陷阱,您必须在您的资产上安装Rapid7 Insight Agent的Windows。必威体育app登录

使蜂蜜凭证

启用蜂蜜证书后,Rapid7 Insight Agent会向资产的记忆中注入一组伪造的必威体育app登录证书,攻击者会觉得这很有吸引力。使用内存转储工具(如MimiKatz)试图使用传递散列攻击的入侵者可能会发现这些虚假凭证。

蜂蜜认证

  1. 从InsightIDR左侧菜单中单击欺骗技术
  2. 单击蜂蜜的凭证选项卡。
  3. 切换到

如果在InsightIDR监控的网络上的任何地方看到这些凭证正在使用,它将触发警报。

一些恶意软件检测软件可能会在发现蜂蜜凭证在内存中运行时发出警报。

如何检测蜂蜜证书

要在启用蜂蜜凭据特性后测试它,您应该执行传递散列攻击。

  1. 下载内存转储或抓取工具,如MimiKatz。
  2. 使用该工具从运行Insight Agent的系统的内存中提取用户和密码。必威体育app登录
  3. 登录到InsightIDR正在监视的东西,例如域帐户及其凭据。

Black Hills Information Security有更多关于如何执行传递哈希攻击的信息:https://www.blackhillsinfosec.com/your-password-is-wait-for-it-not-always-encrypted/

一旦您使用这些凭证,InsightIDR将发出警报并打开一个Investigation。