• Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    Cyberbezpieczeństwo Hacking

    Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła

    Marek „Netbe” Lampart Opublikowane w

    🧠 Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła

    🔐 Czym jest atak Pass-the-Hash?

    Pass-the-Hash (PtH) to technika używana przez cyberprzestępców do autoryzacji w systemie Windows bez znajomości rzeczywistego hasła. Wykorzystuje się w niej wartość skrótu (hash) hasła, która może być przechwycona i użyta do zalogowania się do innych systemów jako dana osoba.

    ➡️ Atakujący nie łamie hasła – po prostu „podaje” jego hash do systemu, który go akceptuje jako prawidłowy.

    🧬 Jak działa Pass-the-Hash?

    1. 🎯 Zainfekowanie systemu ofiary
      Najczęściej poprzez phishing, exploit, malware (np. keylogger, RAT), lub dostęp fizyczny.
    2. 🔍 Wydobycie skrótu hasła (hash)
      Z pamięci operacyjnej, plików SAM, cache LSASS, lub za pomocą narzędzi takich jak:

      • Mimikatz,
      • Pwdump,
      • ProcDump.
    3. 🛠️ Przekazanie hasha do systemu docelowego
      Atakujący podszywa się pod użytkownika, wykorzystując hash do uzyskania autoryzowanego dostępu do zasobów sieciowych (np. SMB, RDP).
    4. 🔄 Ruch boczny (lateral movement)
      Przestępca przemieszcza się po sieci, eskaluje uprawnienia lub uzyskuje dostęp do kontrolera domeny.

    💥 Dlaczego Pass-the-Hash działa?

    Windows, w celu uproszczenia uwierzytelniania w sieci (np. przez SMB), często akceptuje hash NTLM zamiast wymagania pełnego uwierzytelnienia hasłem. Hash działa jak klucz – kto go ma, ten ma dostęp.

    Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła

    🧰 Narzędzia wykorzystywane do Pass-the-Hash

    • Mimikatz – klasyk do wydobywania i używania hashy.
    • Impacket – np. psexec.py, wmiexec.py do wykonania zdalnych poleceń z użyciem hashy.
    • CrackMapExec – do skanowania, eksfiltracji i ataków lateralnych.
    • Metasploit – zawiera moduły do ataków PtH.
    Czytaj  Bezpieczeństwo w social mediach w 2025 – jak chronić swoją prywatność i dane?

    🔐 Różnica między Pass-the-Hash a Pass-the-Ticket

    Cecha Pass-the-Hash Pass-the-Ticket
    Mechanizm uwierzytelnienia NTLM Kerberos
    Używane dane Hash NTLM użytkownika Bilet Kerberos (TGT, TGS)
    Częstość występowania częsty w starszych systemach popularny w atakach na AD
    Łatwość obrony trudna bez segmentacji i EDR trudna – wymaga detekcji TGT

    🛡️ Jak chronić się przed Pass-the-Hash?

    ✅ Dobre praktyki bezpieczeństwa:

    • Wyłącz usługi NTLM, jeśli to możliwe – wymuś Kerberos.
    • Zastosuj Credential Guard (Windows 10/11 Enterprise) – izoluje LSASS.
    • Używaj LAPS – unikalne hasła lokalnych administratorów.
    • Zminimalizuj użycie kont administracyjnych – stosuj zasady Just Enough Admin.
    • Segmentuj sieć – ogranicz dostęp lateralny.
    • Monitoruj logi:
      • logon type 3 (network logon),
      • event ID 4624 z nieoczekiwanym źródłem.

    ✅ Narzędzia wspierające ochronę:

    • EDR (np. Microsoft Defender for Endpoint, CrowdStrike) – monitorowanie LSASS i powłok z PTH.
    • SIEM (np. Splunk, Sentinel) – korelacja zdarzeń i alertowanie.
    • WAF i NAC – ograniczają dostęp do sieci i systemów.

    📊 Podsumowanie

    Ataki Pass-the-Hash są potężne, ponieważ nie wymagają złamania hasła – wystarczy zdobyć hash. Nadal są skuteczne w wielu firmowych środowiskach Windows, które nie wdrożyły nowoczesnych zabezpieczeń.

    ➡️ Wdrożenie zasady najmniejszych uprawnień, segmentacji sieci i monitorowania aktywności to fundamenty obrony przed tą techniką.

     

    Polecane wpisy
    Kompletny przewodnik cyberbezpieczeństwa: Antywirusy, antyspam, VPN i ochrona danych
    Kompletny przewodnik cyberbezpieczeństwa: Antywirusy, antyspam, VPN i ochrona danych

    🛡️ Kompletny przewodnik cyberbezpieczeństwa: Antywirusy, antyspam, VPN i ochrona danych W dobie cyfryzacji każdy użytkownik internetu – od zwykłego smartfona Czytaj dalej

    Sztuczna Inteligencja w Cyberbezpieczeństwie: Jak AI pomaga w obronie, ale też w atakach?
    Sztuczna Inteligencja w Cyberbezpieczeństwie: Jak AI pomaga w obronie, ale też w atakach?

    🤖 Sztuczna Inteligencja w Cyberbezpieczeństwie: Jak AI pomaga w obronie, ale też w atakach? Rozwój sztucznej inteligencji (AI) rewolucjonizuje wiele Czytaj dalej

    Powiązane wpisy:

    1. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    2. Pass-the-Hash (PtH) – ataki bez znajomości haseł
    3. Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    4. Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    5. Ataki na protokół Kerberos – Ticket Granting Ticket i Pass-the-Ticket
    Czytaj  Side-channel attacks w praktyce: Wykorzystywanie ubocznych sygnałów do kradzieży danych
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również