• Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    Cyberbezpieczeństwo Hacking

    Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła

    Marek „Netbe” Lampart Opublikowane w

    🔐 Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła

    🧠 Co to jest Pass-the-Hash?

    Pass-the-Hash (PtH) to technika ataku, która pozwala cyberprzestępcy uwierzytelnić się w systemie bez znajomości rzeczywistego hasła użytkownika. Zamiast tego wykorzystywany jest skrót hasła (hash), który przechowywany jest w pamięci lub bazach systemu Windows.

    ➡️ Innymi słowy: jeśli atakujący uzyska hash hasła, może użyć go tak, jakby znał prawdziwe hasło – nawet bez jego odszyfrowania.

    🧩 Jak działa atak Pass-the-Hash?

    1. Dostęp do systemu
      Atakujący zdobywa dostęp do systemu z uprawnieniami lokalnego użytkownika (np. przez phishing, malware, exploit).
    2. Eksfiltracja hashy
      Za pomocą narzędzi takich jak Mimikatz lub Windows Credential Editor, pobiera NTLM hash z pamięci procesu LSASS.
    3. Uwierzytelnienie za pomocą hasha
      Wykorzystując hash, atakujący loguje się zdalnie do innych systemów w sieci (np. przez SMB, RDP, WMI), uzyskując pełny dostęp bez potrzeby znajomości oryginalnego hasła.
    4. Pionowa eskalacja uprawnień i lateral movement
      Atakujący porusza się po sieci, kompromitując inne hosty i konta – zwłaszcza konta administratorów domeny.

    🧱 Dlaczego to działa?

    Windows (szczególnie starsze wersje) przechowuje hash hasła w pamięci po zalogowaniu użytkownika. Gdy użytkownik próbuje uzyskać dostęp do innego systemu, Windows używa tego hasha do uwierzytelnienia za pomocą protokołu NTLM (NT LAN Manager).

    🔓 Jeśli atakujący skopiuje ten hash – może użyć go, by uzyskać dostęp do innych komputerów z tymi samymi danymi uwierzytelniającymi.

    Czytaj  Implementacja i zarządzanie zasadami haseł w Active Directory dla zwiększenia bezpieczeństwa
    Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła

    🛠️ Narzędzia używane w atakach PtH

    • Mimikatz – najpopularniejsze narzędzie do ekstrakcji hashy i biletów Kerberos.
    • Impacket – pakiet narzędzi dla Python, m.in. pth-winexe, pth-smbclient.
    • WCE (Windows Credentials Editor) – narzędzie do wstrzykiwania hashy do pamięci.
    • PsExec – do zdalnego wykonania poleceń, często używany z hashem.

    🧪 Przykład ataku Pass-the-Hash

    1. Użytkownik klika link phishingowy → malware infekuje system.
    2. Malware uruchamia Mimikatz → pobiera hash konta administratora lokalnego.
    3. Atakujący używa pth-winexe lub PsExec z hashem → uzyskuje dostęp do serwera plików.
    4. Hash konta administratora domeny zostaje pozyskany → pełna kompromitacja Active Directory.

    🛡️ Jak się bronić przed Pass-the-Hash?

    🔐 Najlepsze praktyki zabezpieczeń:

    • 🧼 Izolacja kont administracyjnych – administratorzy powinni mieć osobne konta do codziennego użytku i do zarządzania systemem.
    • 🧯 Wyczyść pamięć z poświadczeń – używaj Credential Guard, LSA Protection, RunAs bez przechowywania danych w pamięci.
    • Wyłącz NTLM, jeśli możliwe – przesiądź się na Kerberos.
    • 🪟 Używaj Windows Defender Credential Guard – blokuje dostęp do LSASS.
    • 🧭 Segmentuj sieć – ogranicz dostęp do krytycznych hostów.
    • 🔎 Monitoruj logi zdarzeń – wykrywaj niestandardowe logowania i użycie narzędzi takich jak Mimikatz.

    📉 Kto jest zagrożony?

    • Sieci firmowe z Active Directory,
    • Systemy, w których konta lokalne mają takie same hasła na wielu hostach,
    • Infrastruktury bez segmentacji,
    • Przedsiębiorstwa bez wdrożonego EDR i monitoringu bezpieczeństwa.

    📌 Ciekawostka: Kerberos vs NTLM

    Choć Kerberos jest bardziej bezpieczny (używa biletów), to NTLM nadal bywa używany w starszych systemach lub tam, gdzie Kerberos nie działa. Dlatego ataki PtH są nadal skuteczne w wielu środowiskach.

    🔚 Podsumowanie

    Pass-the-Hash to jeden z najgroźniejszych i najbardziej podstępnych ataków lateralnych, umożliwiający przejęcie całej sieci przy minimalnym wysiłku. Kluczem do obrony jest minimalizacja przechowywanych poświadczeń, ograniczanie uprawnień oraz eliminacja protokołów starszego typu.

    Czytaj  Buffer Overflow – klasyczna podatność, która wciąż zagraża systemom

     

    Polecane wpisy
    Ataki na Infrastrukturę Klucza Publicznego (PKI Attacks): Gdy certyfikaty są fałszowane
    Ataki na Infrastrukturę Klucza Publicznego (PKI Attacks): Gdy certyfikaty są fałszowane

    🔐 Ataki na Infrastrukturę Klucza Publicznego (PKI Attacks): Gdy certyfikaty są fałszowane 📌 Wprowadzenie do PKI i jego roli w Czytaj dalej

    Bezpieczeństwo strony internetowej: Jak chronić swoją witrynę przed atakami?
    Bezpieczeństwo strony internetowej: Jak chronić swoją witrynę przed atakami?

    Bezpieczeństwo strony internetowej: Jak chronić swoją witrynę przed atakami? W dzisiejszych czasach bezpieczeństwo strony internetowej jest kluczowe zarówno dla firm, Czytaj dalej

    Powiązane wpisy:

    1. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    2. Pass-the-Hash (PtH) – ataki bez znajomości haseł
    3. Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    4. Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    5. Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również