如何运用Ketshash检测可疑的特权NTLM连接

Ketshash是一款针对NTLM安全的分析与检测工具，该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的特权NTLM连接，尤其是Pass-The-Hash攻击。

该工具作为“Pass-The-Hash detection”研究的一部分，以完整开源的形式发布给广大研究人员使用。

该工具可以基于下列信息来实现其功能：

1、受监控计算机上的安全事件日志（登录事件）；

2、活动目录中的身份验证事件；

工具要求

该工具的使用要求用户账号拥有下列权限：

1、访问远程计算机的安全事件日志；

2、活动目录的读取权限（标准域帐户）；

3、计算机在同一时间同步，否则会影响结果；

4、至少安装并配置好PowerShell 2.0；

工具下载

该工具是一个PowerShell脚本，因此我们只能在支持PowerShell 2.0+的设备上使用该工具。

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/cyberark/ketshash.git

工具使用

基础使用

打开PowerShell窗口，并运行下列命令：

Import-Module .\Ketshash.ps1

或者，将Ketshash.ps1的内容拷贝到PowerShell会话窗口中。

除此之外，也可以直接运行下列命令来使用Ketshash：

Invoke-DetectPTH <arguments>

Ketshash Runner

1、确保Ketshash.ps1在KetshashRunner.exe的同一目录下；

2、双击KetshashRunner.exe，根据需要修改设置，并点击运行。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!