数据观澜人工智能
快捷导航
您的位置:首页>网络安全>>如何使用Ketshash检测可疑的特权NTLM连接 >

如何使用Ketshash检测可疑的特权NTLM连接

  发布时间:2025-12-07 14:34:29   作者:玩站小弟   我要评论
关于KetshashKetshash是一款针对NTLM安全的分析与检测工具,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的特权NTLM连接,尤其是Pass-The-Hash攻击。该工具 。

关于Ketshash

Ketshash是何使一款针对NTLM安全的分析与检测工具 ,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的用K疑特权NTLM连接,尤其是特权Pass-The-Hash攻击。

该工具作为“Pass-The-Hash detection”研究的连接一部分 ,以完整开源的何使形式发布给广大研究人员使用  。

该工具可以基于下列信息来实现其功能:

1、建站模板用K疑受监控计算机上的特权安全事件日志(登录事件);

2、活动目录中的连接身份验证事件;

工具要求

该工具的使用要求用户账号拥有下列权限 :

1 、访问远程计算机的何使安全事件日志;

2、活动目录的用K疑读取权限(标准域帐户);

3、计算机在同一时间同步 ,特权否则会影响结果;

4 、高防服务器连接至少安装并配置好PowerShell 2.0;

工具下载

该工具是何使一个PowerShell脚本,因此我们只能在支持PowerShell 2.0+的用K疑设备上使用该工具。

广大研究人员可以使用下列命令将该项目源码克隆至本地:

复制git clone https://github.com/cyberark/ketshash.git1.

工具使用

基础使用

打开PowerShell窗口 ,特权并运行下列命令 :

复制Import-Module .\Ketshash.ps11.

或者,将Ketshash.ps1的内容拷贝到PowerShell会话窗口中。

除此之外,也可以直接运行下列命令来使用Ketshash:

复制Invoke-DetectPTH <arguments>1.

Ketshash Runner

1 、确保Ketshash.ps1在KetshashRunner.exe的源码下载同一目录下;

2 、双击KetshashRunner.exe ,根据需要修改设置,并点击运行;

Invoke-DetectPTH使用

参数解释

Targetcomputers :要检测NTLM连接的目标计算机数组;

TargetComputersFile :包含要检测NTLM连接的目标计算机列表的文件路径;

StartTime :检测开始的时间  ,默认值为当前时间;

UseKerberosCheck :检查组织DC上的TGT\TGS登录;

UseNewCredentialsCheck :检查登录类型为9的登录事件(如Mimikatz)。服务器租用这是可选的 ,默认算法已经涵盖了它。它的存在只是为了显示另一个检测可疑NTLM连接的选项。在Windows版本10和Server 2016上  ,应在事件查看器中启用“Microsoft Windows LSA/操作” 。在Windows 10和Server 2016上,亿华云启用“内核对象审计”将提供更准确的信息 ,例如写入LSASS;

LogFile:保存结果的日志文件路径;

MaxHoursOfLegitLogonPriorToNTLMEvent  :自NTLM事件发生后 ,需要多少小时才能向后查看并搜索合法登录 ,默认值为向后2小时;

使用样例1(推荐)

复制Invoke-DetectPTH -TargetComputers "MARS-7" -LogFile "C:\tmp\log.txt"1.

使用样例2

复制Invoke-DetectPTH -TargetComputers "ComputerName" -StartTime ([datetime]"2017-12-14 12:50:00 PM") -LogFile "C:\tmp\log.txt" -UseKerberosCheck -UseNewCredentialsCheck1.

工具调试

由于该工具使用线程工作,因此不太可能对主功能脚本块进行调试 。但是我们可以在Detect-PTHMultithreaded之前使用Invoke-Command调试 :

复制Invoke-Command -ScriptBlock $detectPTHScriptBlock -ArgumentList $TargetComputers, $startTime, $LogFile, $UseKerberosCheck, $UseNewCredentialsCheck, $MaxHoursOfLegitLogonPriorToNTLMEvent`1.

仅检测一个目标计算机:

复制Invoke-DetectPTH -TargetComputers "<computer_name>" ...1.

将$TargetComputer从[array]修改为[string],这样就可以在脚本块中使用断点来调试了 。

工具使用演示

使用演示 :【点我观看】

许可证协议

本项目的免费模板开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Ketshash :【GitHub传送门】

参考资料

https://www.cyberark.com/threat-research-blog/detecting-pass-the-hash-with-windows-event-viewer

https://www.cyberark.com/resource/pass-hash-detection-using-windows-events/

http://lp.cyberark.com/rs/cyberarksoftware/images/wp-Labs-Pass-the-hash-research-01312018.pdf

  • Tag:

相关文章

  • HTTP绕WAF之浅尝辄止

    0X00前言最近参加重保,和同事闲聊时间,谈起来了外网,彼时信心满满,好歹我也是学了几年,会不少的。结果,扭头看完do9gy师傅的《腾讯 WAF 挑战赛回忆录》,就啪啪打脸了。说来惭愧,最近一段时间,
    2025-12-07

  • 24万台卫星接收器预装DDoS攻击工具

    真主党对讲机爆炸案后,韩国再次曝出大规模“恶意硬件”案件,数十万台销往全球市场的卫星接收器中暗藏DDoS攻击工具,组成了一个庞大的卫星接收器僵尸网络,用户不知不觉中成为大规模DDoS攻击的帮凶。近日,
    2025-12-07

  • 无需拆机!Windows 11 BitLocker加密文件被破解

    混沌通信大会 (38C3)上,安全研究员Thomas Lambertz展示了一个名为“bitpixie”(CVE-2023-21563)的漏洞。“bitpixie”漏洞通过利用Windows启动管理器
    2025-12-07

  • 保护Kubernetes免受威胁:容器安全的有效实践

    译者 | 晶颜审校 | 重楼安全并非“放之四海而皆准”的解决方案,相反地,它更多的是一个范围,受其应用的特定上下文的影响。安全领域的专业人士很少宣称什么产品是完全安全的,但总有方法可以实现更强的安全性
    2025-12-07

  • ​2024年保护微服务的前十种技术

    一、引言与当前正在使用的任何其他技术或方法一样,微服务也有其自己的一套缺陷和问题。尽管如此,微服务架构的采用率不断增加,预计到2028年将达到1718.2亿美元。然而,尽管团队使用微服务,但确保这些微
    2025-12-07

  • 谷歌推出安卓 AI 防诈骗功能,打击对话诈骗

    谷歌宣布推出基于人工智能AI)的诈骗检测功能,以保护安卓设备用户及其个人信息安全。AI对话诈骗检测:从无害到有害的转变谷歌表示:“这些功能专门针对对话诈骗,这类诈骗往往最初看似无害,但随后可能演变成有
    2025-12-07

最新评论