• Pass-the-Hash (PtH) – ataki bez znajomości haseł
    Cyberbezpieczeństwo Hacking

    Pass-the-Hash (PtH) – ataki bez znajomości haseł

    Marek „Netbe” Lampart Opublikowane w

    🔓 Pass-the-Hash (PtH) – ataki bez znajomości haseł

    🧠 Czym jest atak Pass-the-Hash?

    Pass-the-Hash to technika ataku umożliwiająca przejęcie kontroli nad systemem bez konieczności poznania hasła ofiary. Zamiast tego cyberprzestępcy wykorzystują hash hasła, który przechwycili np. z pamięci RAM lub plików systemowych, i używają go do uwierzytelnienia w innych systemach, które akceptują dany hash.

    ➡️ Atak PtH wykorzystuje fakt, że systemy Windows (szczególnie w środowiskach domenowych) akceptują hashe NTLM jako metodę uwierzytelnienia.

    📜 Jak działa Pass-the-Hash?

    1. Zbieranie hashy
      Atakujący musi zdobyć hash NTLM. Najczęściej używa do tego:

      • narzędzi typu Mimikatz lub LSASS dump,
      • ataku fizycznego (dostęp lokalny),
      • złośliwego oprogramowania z uprawnieniami administratora.
    2. Użycie hasha
      Zamiast wpisywać hasło, atakujący używa zdobytego hasha, aby:

      • połączyć się z zasobem SMB lub RDP,
      • uzyskać sesję na zdalnym systemie.
    3. Lateral movement (ruch boczny)
      Dzięki temu może poruszać się po sieci, przejmując kolejne maszyny – bez znajomości żadnego hasła.
    Pass-the-Hash (PtH) – ataki bez znajomości haseł
    Pass-the-Hash (PtH) – ataki bez znajomości haseł

    🛠️ Narzędzia wykorzystywane do PtH

    • Mimikatz – najpopularniejsze narzędzie do pozyskiwania hashy z pamięci RAM.
    • Impacket (psexec.py, smbexec.py) – zestaw narzędzi do wykonywania zdalnych komend z użyciem hashy.
    • Windows Credential Editor (WCE) – stary, ale wciąż użyteczny do testów.
    • CrackMapExec – automatyzuje ataki lateralne w sieciach domenowych.

    📌 Przykład ataku PtH

    psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:6d5c2b5d5b2c1f328b90e79e2c45f847 administrator@192.168.1.100

    ➡️ Użycie hashy do uruchomienia polecenia na zdalnym systemie jako administrator.

    📉 Zagrożenia

    • Brak konieczności łamania haseł – wystarczy hash.
    • Szybka propagacja ataku w sieciach domenowych.
    • Ominięcie zasad złożoności hasła i rotacji – hashe mogą być długo aktywne.
    • Trudna detekcja, zwłaszcza jeśli atakujący używa narzędzi typu „Living off the Land”.
    Czytaj  Luki w systemie haseł i uwierzytelniania w Windows 11: Słabe punkty biometrii i PIN-ów

    🛡️ Jak się chronić przed Pass-the-Hash?

    🔐 Podstawowe środki zaradcze:

    • Minimalizacja uprawnień administratora – unikanie stałych kont z wysokimi uprawnieniami.
    • Segmentacja sieci – ograniczenie komunikacji między hostami.
    • Używanie LSA Protection – zabezpieczenie procesów (LSASS) przed dumpowaniem pamięci.
    • Hasła jednorazowe / 2FA – hasła tymczasowe, które nie mają długiego okresu ważności.
    • Zasada Just Enough Administration (JEA) – ograniczenie działań administratora.

    📈 Zaawansowane techniki:

    • Windows Defender Credential Guard – izolacja danych logowania.
    • Detection & response (EDR/SIEM) – monitorowanie logowań z użyciem hashy.
    • Monitoring ruchu SMB/RPC – nietypowe sesje mogą wskazywać na atak PtH.
    • Zmniejszenie zależności od NTLM – przejście na Kerberos.

    🧾 Podsumowanie

    Ataki Pass-the-Hash to jedno z ulubionych narzędzi hakerów działających w sieciach firmowych. Wymagają one już pewnego dostępu do systemu, ale pozwalają na ciche i skuteczne poruszanie się po infrastrukturze IT, często przez wiele miesięcy.

    ➡️ Ochrona przed PtH to nie tylko kwestia techniczna – to również kwestia polityki dostępu i segmentacji sieci.

     

    Polecane wpisy
    Ataki na firmware: najgłębsze warstwy zagrożeń – Jak chronić urządzenia przed modyfikacją kodu
    Ataki na firmware: najgłębsze warstwy zagrożeń – Jak chronić urządzenia przed modyfikacją kodu

    🧬 Ataki na firmware: najgłębsze warstwy zagrożeń – Jak chronić urządzenia przed modyfikacją kodu 🔐 Gdy zagrożenie zaczyna się pod Czytaj dalej

    Ataki typu DNS Spoofing i DNS Poisoning – manipulacja ruchem sieciowym
    Ataki typu DNS Spoofing i DNS Poisoning – manipulacja ruchem sieciowym

    🌐 Ataki typu DNS Spoofing i DNS Poisoning – manipulacja ruchem sieciowym 🧠 Czym jest DNS? DNS (Domain Name System) Czytaj dalej

    Powiązane wpisy:

    1. Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    2. Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne
    3. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    4. Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    5. Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    Czytaj  Ataki ransomware na łańcuch dostaw oprogramowania. Jak jedno zainfekowane oprogramowanie może zagrozić wielu użytkownikom
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również