强制身份验证

对手可能通过调用或强制用户自动提供身份验证信息来收集凭证材料，这些信息可以被对手拦截。 服务器消息块 (SMB) 协议通常用于 Windows 网络中的身份验证和系统之间的通信，以访问资源和文件共享。当 Windows 系统尝试连接到 SMB 资源时，它会自动尝试进行身份验证并将当前用户的凭证信息发送到远程系统。(引用: Wikipedia Server Message Block) 这种行为在企业环境中很常见，因此用户无需输入凭证即可访问网络资源。 Web 分布式创作和版本控制 (WebDAV) 也是 Windows 系统在 SMB 被阻止或失败时通常使用的备份协议。WebDAV 是 HTTP 的扩展，通常通过 TCP 端口 80 和 443 运行。(引用: Didier Stevens WebDAV Traffic) (引用: Microsoft Managing WebDAV Security) 对手可能利用这种行为，通过强制 SMB/WebDAV 身份验证来获取用户账户哈希。对手可以通过鱼叉式网络钓鱼发送包含指向对手控制的外部服务器的资源链接的附件（即模板注入），或者将特制文件放置在特权账户的导航路径上（例如，放置在桌面上的 .SCF 文件）或放置在公共可访问的共享上，以供受害者访问。当用户的系统访问不受信任的资源时，它会尝试进行身份验证并通过 SMB 将信息（包括用户的哈希凭证）发送到对手控制的服务器。(引用: GitHub Hashjacking) 通过访问凭证哈希，对手可以进行离线暴力破解以获取明文凭证。(引用: Cylance Redirect to SMB) 这种情况可能以多种方式发生。(引用: Osanda Stealing NetNTLM Hashes) 一些实际使用的具体示例包括： * 包含自动加载资源的文档的鱼叉式网络钓鱼附件，当文档打开时会触发 SMB 请求（即模板注入）。例如，文档可以包含类似 file[:]//[remote address]/Normal.dotm 的请求以触发 SMB 请求。(引用: US-CERT APT Energy Oct 2017) * 修改的 .LNK 或 .SCF 文件，其图标文件名指向外部引用，例如 \[remote address]\pic.png，当图标呈现时会强制系统加载资源，以反复收集凭证。(引用: US-CERT APT Energy Oct 2017)