• Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    Cyberbezpieczeństwo Hacking

    Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła

    Marek „Netbe” Lampart Opublikowane w

    🧠 Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła

    🔐 Czym jest atak Pass-the-Hash?

    Pass-the-Hash (PtH) to technika używana przez cyberprzestępców do autoryzacji w systemie Windows bez znajomości rzeczywistego hasła. Wykorzystuje się w niej wartość skrótu (hash) hasła, która może być przechwycona i użyta do zalogowania się do innych systemów jako dana osoba.

    ➡️ Atakujący nie łamie hasła – po prostu „podaje” jego hash do systemu, który go akceptuje jako prawidłowy.

    🧬 Jak działa Pass-the-Hash?

    1. 🎯 Zainfekowanie systemu ofiary
      Najczęściej poprzez phishing, exploit, malware (np. keylogger, RAT), lub dostęp fizyczny.
    2. 🔍 Wydobycie skrótu hasła (hash)
      Z pamięci operacyjnej, plików SAM, cache LSASS, lub za pomocą narzędzi takich jak:

      • Mimikatz,
      • Pwdump,
      • ProcDump.
    3. 🛠️ Przekazanie hasha do systemu docelowego
      Atakujący podszywa się pod użytkownika, wykorzystując hash do uzyskania autoryzowanego dostępu do zasobów sieciowych (np. SMB, RDP).
    4. 🔄 Ruch boczny (lateral movement)
      Przestępca przemieszcza się po sieci, eskaluje uprawnienia lub uzyskuje dostęp do kontrolera domeny.

    💥 Dlaczego Pass-the-Hash działa?

    Windows, w celu uproszczenia uwierzytelniania w sieci (np. przez SMB), często akceptuje hash NTLM zamiast wymagania pełnego uwierzytelnienia hasłem. Hash działa jak klucz – kto go ma, ten ma dostęp.

    Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła

    🧰 Narzędzia wykorzystywane do Pass-the-Hash

    • Mimikatz – klasyk do wydobywania i używania hashy.
    • Impacket – np. psexec.py, wmiexec.py do wykonania zdalnych poleceń z użyciem hashy.
    • CrackMapExec – do skanowania, eksfiltracji i ataków lateralnych.
    • Metasploit – zawiera moduły do ataków PtH.
    Czytaj  Narzędzia do ataków hakerskich – przegląd najpopularniejszych programów

    🔐 Różnica między Pass-the-Hash a Pass-the-Ticket

    Cecha Pass-the-Hash Pass-the-Ticket
    Mechanizm uwierzytelnienia NTLM Kerberos
    Używane dane Hash NTLM użytkownika Bilet Kerberos (TGT, TGS)
    Częstość występowania częsty w starszych systemach popularny w atakach na AD
    Łatwość obrony trudna bez segmentacji i EDR trudna – wymaga detekcji TGT

    🛡️ Jak chronić się przed Pass-the-Hash?

    ✅ Dobre praktyki bezpieczeństwa:

    • Wyłącz usługi NTLM, jeśli to możliwe – wymuś Kerberos.
    • Zastosuj Credential Guard (Windows 10/11 Enterprise) – izoluje LSASS.
    • Używaj LAPS – unikalne hasła lokalnych administratorów.
    • Zminimalizuj użycie kont administracyjnych – stosuj zasady Just Enough Admin.
    • Segmentuj sieć – ogranicz dostęp lateralny.
    • Monitoruj logi:
      • logon type 3 (network logon),
      • event ID 4624 z nieoczekiwanym źródłem.

    ✅ Narzędzia wspierające ochronę:

    • EDR (np. Microsoft Defender for Endpoint, CrowdStrike) – monitorowanie LSASS i powłok z PTH.
    • SIEM (np. Splunk, Sentinel) – korelacja zdarzeń i alertowanie.
    • WAF i NAC – ograniczają dostęp do sieci i systemów.

    📊 Podsumowanie

    Ataki Pass-the-Hash są potężne, ponieważ nie wymagają złamania hasła – wystarczy zdobyć hash. Nadal są skuteczne w wielu firmowych środowiskach Windows, które nie wdrożyły nowoczesnych zabezpieczeń.

    ➡️ Wdrożenie zasady najmniejszych uprawnień, segmentacji sieci i monitorowania aktywności to fundamenty obrony przed tą techniką.

     

    Polecane wpisy
    Optymalizacja Wydajności Kopania Kryptowalut na Przejętych Systemach
    Optymalizacja Wydajności Kopania Kryptowalut na Przejętych Systemach

    Optymalizacja Wydajności Kopania Kryptowalut na Przejętych Systemach Wprowadzenie W ciągu ostatnich kilku lat, kopanie kryptowalut stało się jednym z najpopularniejszych Czytaj dalej

    Cyberwojny nowej generacji: Rola dezinformacji i sabotażu w erze cyfrowej
    Cyberwojny nowej generacji: Rola dezinformacji i sabotażu w erze cyfrowej

    🌐 Wprowadzenie: Od pola bitwy do cyberprzestrzeni Współczesne konflikty zbrojne nie rozgrywają się już wyłącznie na lądzie, w powietrzu czy Czytaj dalej

    Powiązane wpisy:

    1. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    2. Pass-the-Hash (PtH) – ataki bez znajomości haseł
    3. Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    4. Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    5. Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    Czytaj  Przechwytywanie i analiza ruchu sieciowego aplikacji Androida (Burp Suite, Wireshark)
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również