蜂蜜凭证

蜂蜜凭据存在于资产上,而不是在Active Directory上。密码存在于您的资产中。攻击者可以使用工具从资产中获取这些密码,然后在其他地方尝试访问其他资源。蜂蜜证书是假的证书,如果使用它们会引起警报。

有关蜂蜜凭证的细微差别的更多信息,看看我们的博客

在你开始之前

为了使用蜂蜜证书欺骗陷阱,您必须在您的资产上安装Rapid7 Insight Agent的Windows。必威体育app登录

启用蜂蜜凭证

启用蜂蜜证书后,Rapid7 Insight Agent会向资产的记忆中注入一组伪造的必威体育app登录证书,攻击者会觉得这很有吸引力。使用内存转储工具(如MimiKatz)试图使用传递散列攻击的入侵者可能会发现这些虚假凭证。

蜂蜜认证

  1. 从InsightIdr left菜单,点击欺骗技术
  2. 单击蜂蜜凭证选项卡。
  3. 切换切换到

如果在使用InsightIdr监视的网络上的任何位置使用这些凭据,它将触发警报。

一些恶意软件检测软件可能会在发现蜂蜜凭证在内存中运行时发出警报。

如何测试蜂蜜凭证

要在启用蜂蜜凭据特性后测试它,您应该执行传递散列攻击。

  1. 下载内存转储或抓取工具,如MimiKatz。
  2. 使用该工具从运行Insight Agent的系统的内存中提取用户和密码。必威体育app登录
  3. 登录到InsightIDR正在监视的东西,例如域帐户及其凭据。

Black Hills信息安全有关如何执行通行证攻击的更多信息:https://www.blackhillsinfosec.com/your-password-is-wait-for-it-not-always-encrypted/

一旦使用这些凭据,InsightIdr将警告并开放调查。