• Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    Cyberbezpieczeństwo Hacking

    Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła

    Marek „Netbe” Lampart Opublikowane w

    🔑 Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła

    🔍 Na czym polega Pass-the-Hash?

    Atak Pass-the-Hash (PtH) umożliwia uwierzytelnienie się jako inny użytkownik (np. administrator) bez potrzeby znajomości jego hasła – wystarczy sam hash hasła. W środowiskach Windows, gdzie używany jest protokół NTLM, taka metoda może być wyjątkowo skuteczna.

    ⚙️ Jak działa Pass-the-Hash?

    🔐 Krok po kroku:

    1. Eksfiltracja hashy: Atakujący zdobywa hash(e) NTLM (np. za pomocą narzędzia Mimikatz).
    2. Użycie hashy: Hash jest używany do uwierzytelnienia w systemach Windows, które akceptują NTLM – bez potrzeby odtwarzania hasła.
    3. Lateral Movement: Atakujący uzyskuje dostęp do innych maszyn w sieci (np. serwerów, zasobów SMB).
    4. Privilege Escalation: Po uzyskaniu dostępu – dalsze zwiększanie uprawnień lub wdrażanie malware.

    🛠️ Narzędzia wykorzystywane w PtH

    • Mimikatz – ekstrakcja hashy z pamięci (LSASS),
    • Impacket (pth-smbclient, pth-winexe) – narzędzia Python do autoryzacji przez NTLM,
    • Evil-WinRM – do zdalnego uruchamiania PowerShella z hashem,
    • Metasploit – moduły wykorzystujące PtH do sesji post-exploitation,
    • Pass-the-Hash Toolkit – specjalistyczne skrypty dla środowisk Windows.

    🛡️ Dlaczego to działa?

    • Protokoły takie jak NTLM oraz SMB nie rozróżniają hasła od jego hasha – traktują hash jak klucz.
    • Systemy Windows często zezwalają na uwierzytelnianie za pomocą hashy, jeśli użytkownik ma odpowiednie uprawnienia.
    • Brak ograniczeń w reużywaniu hashy (brak TGT jak w Kerberos).
    Czytaj  Cyberataki na systemy SCADA i ICS – zagrożenia dla przemysłu w 2025 roku
    Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła

    🎯 Cele ataków PtH

    • Dostęp do udziałów sieciowych (SMB),
    • Zdalna administracja systemami Windows (WMI, WinRM),
    • Wyciąganie kolejnych poświadczeń z innych maszyn (pivoting),
    • Trwała obecność i eskalacja przywilejów w domenie Active Directory.

    🔍 Jak wykrywać ataki Pass-the-Hash?

    📈 Oznaki incydentu:

    • Nietypowe uwierzytelnienia NTLM,
    • Logowanie użytkownika bez interakcji (bez otwarcia sesji RDP lub GUI),
    • Brak korelacji między komputerem źródłowym a kontem użytkownika.

    🧰 Narzędzia i techniki:

    • EDR/NDR – analiza procesów, anomalii logowania,
    • Sysmon – rejestrowanie podejrzanych akcji (np. LSASS access),
    • Windows Event Logs – ID 4624 (logowanie), 4672 (specjalne uprawnienia),
    • SIEM – korelacja logów NTLM z ruchem sieciowym.

    🛡️ Jak się bronić?

    ✅ Najlepsze praktyki:

    • Wyłącz NTLM, jeśli to możliwe – preferuj Kerberos,
    • Włącz Credential Guard – izoluje dane logowania,
    • Ogranicz użycie kont z uprawnieniami administratora,
    • Segmentuj sieć – ogranicz lateral movement,
    • Monitoruj dostęp do LSASS – zabezpiecz pamięć procesu.

    🧬 Podsumowanie

    Pass-the-Hash to jeden z klasycznych i nadal skutecznych ataków lateralnych w systemach Windows. Choć istnieją mechanizmy ochrony, wiele firm nadal korzysta z NTLM lub nie ogranicza uprawnień lokalnych administratorów. Z tego względu, PtH pozostaje ważnym zagrożeniem, zwłaszcza w sieciach opartych na Active Directory.

     

    Polecane wpisy
    Efektywne zarządzanie grupami w Active Directory: strategie i najlepsze praktyki
    Efektywne zarządzanie grupami w Active Directory: strategie i najlepsze praktyki

    Efektywne zarządzanie grupami w Active Directory: strategie i najlepsze praktyki Windows Server jest kluczowym elementem infrastruktury IT w wielu organizacjach. Czytaj dalej

    Exploity i Zero-Day Vulnerabilities: Jak wirusy wykorzystują luki w oprogramowaniu (znane i nieznane)
    Exploity i Zero-Day Vulnerabilities: Jak wirusy wykorzystują luki w oprogramowaniu (znane i nieznane)

    🚨 Exploity i Zero-Day Vulnerabilities: Jak wirusy wykorzystują luki w oprogramowaniu (znane i nieznane) 💥 Czym są exploity? Exploity to Czytaj dalej

    Powiązane wpisy:

    1. Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    2. Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    3. Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    4. Pass-the-Hash (PtH) – ataki bez znajomości haseł
    5. Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    Czytaj  Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również