• Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    Cyberbezpieczeństwo Hacking

    Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła

    Marek „Netbe” Lampart Opublikowane w

    🔐 Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła

    🧠 Co to jest Pass-the-Hash?

    Pass-the-Hash (PtH) to technika ataku, która pozwala cyberprzestępcy uwierzytelnić się w systemie bez znajomości rzeczywistego hasła użytkownika. Zamiast tego wykorzystywany jest skrót hasła (hash), który przechowywany jest w pamięci lub bazach systemu Windows.

    ➡️ Innymi słowy: jeśli atakujący uzyska hash hasła, może użyć go tak, jakby znał prawdziwe hasło – nawet bez jego odszyfrowania.

    🧩 Jak działa atak Pass-the-Hash?

    1. Dostęp do systemu
      Atakujący zdobywa dostęp do systemu z uprawnieniami lokalnego użytkownika (np. przez phishing, malware, exploit).
    2. Eksfiltracja hashy
      Za pomocą narzędzi takich jak Mimikatz lub Windows Credential Editor, pobiera NTLM hash z pamięci procesu LSASS.
    3. Uwierzytelnienie za pomocą hasha
      Wykorzystując hash, atakujący loguje się zdalnie do innych systemów w sieci (np. przez SMB, RDP, WMI), uzyskując pełny dostęp bez potrzeby znajomości oryginalnego hasła.
    4. Pionowa eskalacja uprawnień i lateral movement
      Atakujący porusza się po sieci, kompromitując inne hosty i konta – zwłaszcza konta administratorów domeny.

    🧱 Dlaczego to działa?

    Windows (szczególnie starsze wersje) przechowuje hash hasła w pamięci po zalogowaniu użytkownika. Gdy użytkownik próbuje uzyskać dostęp do innego systemu, Windows używa tego hasha do uwierzytelnienia za pomocą protokołu NTLM (NT LAN Manager).

    🔓 Jeśli atakujący skopiuje ten hash – może użyć go, by uzyskać dostęp do innych komputerów z tymi samymi danymi uwierzytelniającymi.

    Czytaj  Analiza Logów Systemowych i Sieciowych w Celu Wykrycia Podejrzanej Aktywności
    Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła

    🛠️ Narzędzia używane w atakach PtH

    • Mimikatz – najpopularniejsze narzędzie do ekstrakcji hashy i biletów Kerberos.
    • Impacket – pakiet narzędzi dla Python, m.in. pth-winexe, pth-smbclient.
    • WCE (Windows Credentials Editor) – narzędzie do wstrzykiwania hashy do pamięci.
    • PsExec – do zdalnego wykonania poleceń, często używany z hashem.

    🧪 Przykład ataku Pass-the-Hash

    1. Użytkownik klika link phishingowy → malware infekuje system.
    2. Malware uruchamia Mimikatz → pobiera hash konta administratora lokalnego.
    3. Atakujący używa pth-winexe lub PsExec z hashem → uzyskuje dostęp do serwera plików.
    4. Hash konta administratora domeny zostaje pozyskany → pełna kompromitacja Active Directory.

    🛡️ Jak się bronić przed Pass-the-Hash?

    🔐 Najlepsze praktyki zabezpieczeń:

    • 🧼 Izolacja kont administracyjnych – administratorzy powinni mieć osobne konta do codziennego użytku i do zarządzania systemem.
    • 🧯 Wyczyść pamięć z poświadczeń – używaj Credential Guard, LSA Protection, RunAs bez przechowywania danych w pamięci.
    • Wyłącz NTLM, jeśli możliwe – przesiądź się na Kerberos.
    • 🪟 Używaj Windows Defender Credential Guard – blokuje dostęp do LSASS.
    • 🧭 Segmentuj sieć – ogranicz dostęp do krytycznych hostów.
    • 🔎 Monitoruj logi zdarzeń – wykrywaj niestandardowe logowania i użycie narzędzi takich jak Mimikatz.

    📉 Kto jest zagrożony?

    • Sieci firmowe z Active Directory,
    • Systemy, w których konta lokalne mają takie same hasła na wielu hostach,
    • Infrastruktury bez segmentacji,
    • Przedsiębiorstwa bez wdrożonego EDR i monitoringu bezpieczeństwa.

    📌 Ciekawostka: Kerberos vs NTLM

    Choć Kerberos jest bardziej bezpieczny (używa biletów), to NTLM nadal bywa używany w starszych systemach lub tam, gdzie Kerberos nie działa. Dlatego ataki PtH są nadal skuteczne w wielu środowiskach.

    🔚 Podsumowanie

    Pass-the-Hash to jeden z najgroźniejszych i najbardziej podstępnych ataków lateralnych, umożliwiający przejęcie całej sieci przy minimalnym wysiłku. Kluczem do obrony jest minimalizacja przechowywanych poświadczeń, ograniczanie uprawnień oraz eliminacja protokołów starszego typu.

    Czytaj  Windows Server – Najczęstsze Błędy i Ich Kody

     

    Polecane wpisy
    Praktyczny poradnik: Darmowe zabezpieczenia dla Windows, Linux i Android
    Praktyczny poradnik: Darmowe zabezpieczenia dla Windows, Linux i Android

    🔧 Praktyczny poradnik: Darmowe zabezpieczenia dla Windows, Linux i Android Wielu użytkowników myśli, że bezpieczeństwo w sieci wymaga drogich rozwiązań. Czytaj dalej

    Jak sprawdzić czy mam trojana na telefonie
    Jak sprawdzić, czy mam trojana na telefonie

    Sprawdzanie, czy masz trojana na telefonie, wymaga kilku kroków, aby upewnić się, że urządzenie jest czyste i bezpieczne. Trojan to Czytaj dalej

    Powiązane wpisy:

    1. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    2. Pass-the-Hash (PtH) – ataki bez znajomości haseł
    3. Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    4. Ataki na Active Directory: Powielanie bazy ntds.dit i kradzież tożsamości domeny
    5. Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również