当前位置：首页 > news >正文

蓝队视角：彻底理解PTH/PTK/PTT，手把手配置检测与防御规则（含Sigma/YARA）

news 2026/4/21 0:02:33

蓝队防御实战：深度解析PTH/PTK/PTT攻击特征与检测方案设计

在攻防对抗的战场上，攻击者总会寻找最隐蔽的路径突破防线。作为防御方，我们不仅需要知道如何修补漏洞，更要理解攻击者如何思考、如何行动。PTH（Pass the Hash）、PTK（Pass the Key）和PTT（Pass the Ticket）这三种横向移动技术，正是内网渗透中最具威胁的"隐形杀手"。它们不需要明文密码就能实现权限跃迁，传统安全设备往往难以察觉。本文将带您深入这三种攻击技术的协议层，揭示它们在日志和流量中留下的蛛丝马迹，并构建精准的检测规则。

1. 协议层深度解析：NTLM与Kerberos的攻防本质

1.1 PTH攻击的NTLM协议特征

当攻击者使用Mimikatz进行PTH攻击时，系统其实在进行标准的NTLM认证，只是跳过了密码破解环节。这种攻击会在Windows安全日志中留下特殊痕迹：

事件ID 4624：登录类型为3（网络登录），但身份验证包显示为"NTLM"而非"Kerberos"
登录进程字段：显示为"NtLmSsp"而非正常的"User32"
关键日志字段对比：

正常登录	PTH攻击
Logon Process: User32	Logon Process: NtLmSsp
Authentication Package: Negotiate	Authentication Package: NTLM
Workstation Name: 实际主机名	Workstation Name: 攻击者控制的机器名

注意：在打了KB2871997补丁的系统上，PTH攻击仅对Administrator账户有效，这反而成为检测线索——普通账户的NTLM网络登录更值得警惕。

1.2 PTK攻击的AES密钥特性

PTK攻击利用Kerberos协议的AES密钥而非NTLM哈希。这种攻击会产生独特的Kerberos请求模式：

KRB_AS_REQ → KRB_AS_REP (TGT获取) KRB_TGS_REQ → KRB_TGS_REP (服务票据获取)

关键检测点在于：

票据请求中缺少预认证数据（PA-DATA）
短时间内同一账户从不同IP请求票据
AES密钥长度异常（非标准256位）

1.3 PTT攻击的Kerberos票据异常

黄金票据（Golden Ticket）和白银票据（Silver Ticket）攻击会绕过正常的Kerberos流程。检测重点包括：

KRBTGT账户密码更改事件（事件ID 4727）：攻击者常会重置此密码
票据有效期异常：正常TGT有效期为10小时，伪造票据往往设置超长有效期
服务票据（ST）未对应合法SPN：白银票据常伪造不存在的服务

# 检测异常TGT有效期的Sigma规则示例 title: Suspicious Kerberos Ticket Lifetime description: Detects TGT with abnormal lifetime (>10h) logsource: product: windows service: security detection: selection: EventID: 4769 TicketOptions: '0x40810000' TicketLifetime: '> 36000' # 10小时=36000秒 condition: selection

2. 日志狩猎：从海量数据中捕捉攻击信号

2.1 Windows安全日志关键事件

构建有效的检测规则需要聚焦几个核心事件：

4688事件：进程创建记录，捕捉Mimikatz等工具执行
4768-4769事件：Kerberos票据请求与发放
4672事件：特殊权限分配（如调试权限）
4611事件：本地安全机构加载认证包

2.2 Sysmon增强日志采集

标准Windows日志往往不够详细，需要Sysmon补充关键数据：

<!-- 监控LSASS进程访问的Sysmon配置 --> <RuleGroup name="" groupRelation="or"> <ProcessAccess onmatch="include"> <TargetImage condition="contains">lsass.exe</TargetImage> </ProcessAccess> </RuleGroup>

配合以下Sigma规则检测可疑的LSASS访问：

title: Suspicious Process Access to LSASS description: Detects suspicious processes accessing LSASS logsource: category: process_access product: windows detection: selection: TargetImage: '*\lsass.exe' GrantedAccess: '0x1FFFFF' # PROCESS_ALL_ACCESS condition: selection

2.3 网络流量特征分析

在无法获取主机日志时，网络流量分析成为最后防线：

Kerberos流量异常：
- 异常的预认证类型（如不使用PA-ENC-TIMESTAMP）
- 重复的票据请求（可能为票据重放攻击）
NTLM流量特征：
- 同一账户短时间内从多个IP发起NTLM认证
- NTLMv1会话（更易受攻击）

3. 防御体系构建：从检测到阻断

3.1 组策略加固方案

实施这些组策略设置可有效降低攻击面：

策略路径	推荐设置	防御效果
计算机配置\Windows设置\安全设置\本地策略\安全选项	限制NTLM: 仅允许NTLMv2	阻断大部分PTH攻击
计算机配置\Windows设置\安全设置\账户策略\Kerberos策略	最大票据寿命=10小时	限制黄金票据有效期
计算机配置\管理模板\系统\凭据分配	限制委派凭据=启用	防止凭据滥用

3.2 Sigma规则实战示例

针对PTT攻击的检测规则示例：

title: Golden Ticket Usage description: Detects possible Golden Ticket usage logsource: product: windows service: security detection: selection: EventID: 4769 ServiceName: 'krbtgt' TicketEncryptionType: '0x12' # AES256 IpAddress: '::1' # 本地生成票据 condition: selection

3.3 YARA规则检测攻击工具

以下YARA规则可检测内存中的Mimikatz痕迹：

rule Mimikatz_In_Memory { meta: description = "Detects Mimikatz in process memory" author = "BlueTeam" strings: $s1 = "sekurlsa::logonPasswords" fullword ascii $s2 = "kerberos::golden" fullword ascii $s3 = "mimikatz" fullword wide condition: any of them }

4. 实战演练：构建完整检测流水线

4.1 ELK Stack日志分析方案

配置Logstash管道处理安全事件：

filter { if [EventID] == 4769 { grok { match => { "Message" => [ "Ticket Encryption Type: 0x%{DATA:TicketEncryptionType}", "Client Address: %{IP:ClientIp}" ]} } if [TicketEncryptionType] == "0x12" and [ClientIp] == "::1" { mutate { add_tag => [ "GoldenTicket" ] } } } }

4.2 自动化响应脚本示例

当检测到可疑活动时，可自动执行隔离操作：

# 检测到PTH攻击时自动隔离主机 $Alert = Get-WinEvent -FilterHashtable @{ LogName='Security' ID=4624 Data='NTLM' } -MaxEvents 1 -ErrorAction SilentlyContinue if ($Alert) { Invoke-Command -ComputerName $Alert.MachineName -ScriptBlock { netsh advfirewall set allprofiles state on Set-NetFirewallRule -DisplayName "Block SMB" -Enabled True -Action Block } }