• Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne
    Cyberbezpieczeństwo Hacking

    Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne

    Marek „Netbe” Lampart Opublikowane w

    🔐 Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne

    🧠 Czym jest Pass-the-Hash?

    Pass-the-Hash (PtH) to technika ataku, która pozwala cyberprzestępcom uwierzytelniać się w systemie Windows bez znajomości hasła, wykorzystując jedynie hash hasła użytkownika.

    Hash jest skrótem kryptograficznym (najczęściej NTLM), który można przechwycić z pamięci systemu lub plików, a następnie użyć do uzyskania dostępu do innych systemów w sieci – tak, jakby napastnik miał pełne hasło.

    🔍 Jak działa atak PtH?

    1. Uwierzytelnienie ofiary
      Użytkownik loguje się do systemu Windows – jego hasło zostaje przetworzone na hash i zapisane w pamięci (np. w LSASS).
    2. Zbieranie hashy
      Atakujący, który ma uprawnienia lokalnego administratora (np. po wcześniejszym ataku), używa narzędzi do wyciągnięcia hashy z pamięci RAM:

      • Mimikatz
      • ProcDump + Mimikatz
      • Lsass.exe memory dump
    3. Przekazanie hasha (pass-the-hash)
      Zebrany hash może być użyty do uwierzytelnienia się na innych systemach, bez potrzeby poznania oryginalnego hasła:

      • psexec
      • wmiexec.py
      • pass-the-hash.py z Impacket

    💣 Skutki ataku

    • Przejście poziome w sieci (lateral movement),
    • Eskalacja uprawnień i dostęp do systemów serwerowych,
    • Kradzież danych z serwerów plików, baz danych i stacji roboczych,
    • Możliwość utworzenia backdoorów i długoterminowej obecności w infrastrukturze ofiary (tzw. persistence).

    📌 Przykład

    Jeśli hash użytkownika admin z domeny zostanie zdobyty na jednej maszynie, może zostać użyty do logowania się do innych maszyn w domenie, nawet jeśli użytkownik nie zna hasła – wystarczy, że hash zostanie przesłany w odpowiedzi do serwera.

    Czytaj  Technologie EDR – nowoczesna ochrona przed zaawansowanymi zagrożeniami
    Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne
    Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne

    ⚔️ Narzędzia wykorzystywane w atakach PtH

    • Mimikatz – klasyk do dumpowania hashy z LSASS.
    • Impacket – biblioteka Python z narzędziami do PtH (np. wmiexec.py).
    • pth-winexe / pth-toolkit – starsze narzędzia do wykorzystania hashy.
    • Windows Credential Editor (WCE) – narzędzie do zarządzania poświadczeniami.

    🛡️ Jak się chronić przed PtH?

    🔒 Najważniejsze środki bezpieczeństwa:

    • Wyłącz logowanie lokalnych administratorów przez sieć (deny access to this computer from the network).
    • Używaj kont uprzywilejowanych tylko na stacjach bez dostępu do Internetu.
    • Segmentacja sieci i zasada minimalnych uprawnień (Least Privilege).
    • Credential Guard (Windows 10+) – chroni LSASS przed nieautoryzowanym dostępem.
    • Zasady blokowania NTLM – ograniczenie lub wyłączenie NTLM, przejście na Kerberos.
    • Monitoring:
      • Wykrywanie anomalii logowań (np. logowanie bez wpisywania hasła),
      • Zdarzenia z ID 4624 (logowanie) i 4688 (uruchamianie procesów).

    📊 Podsumowanie

    Ataki typu Pass-the-Hash są wyjątkowo groźne, ponieważ omijają tradycyjne zabezpieczenia hasłowe, bazując na tym, że Windows przechowuje skróty haseł w pamięci systemu. Nawet najbardziej złożone hasło nie pomoże, jeśli napastnik ma dostęp do hasha.

    ➡️ Obrona przed PtH wymaga zmiany sposobu myślenia o tożsamości i uwierzytelnieniu, a nie tylko ochrony samych haseł.

     

    Polecane wpisy
    Atak ARP Spoofing. Co to jest i na czym polega? Jak się bronić?
    Atak ARP Spoofing. Co to jest i na czym polega? Jak się bronić?

    Atak ARP Spoofing – czym jest, jak działa i jak się chronić ARP Spoofing to rodzaj ataku sieciowego, w którym Czytaj dalej

    Jak zminimalizować ryzyko związane z otwieraniem portów dla klastrów i wysokiej dostępności w Windows Server
    Jak zminimalizować ryzyko związane z otwieraniem portów dla klastrów i wysokiej dostępności w Windows Server

    Jak zminimalizować ryzyko związane z otwieraniem portów dla klastrów i wysokiej dostępności w Windows Server Bezpieczeństwo sieciowe jest kluczowym aspektem Czytaj dalej

    Powiązane wpisy:

    1. Pass-the-Hash (PtH) – ataki bez znajomości haseł
    2. Atak Pass-the-Hash (PtH) – kradzież tożsamości bez poznania hasła
    3. Ataki Pass-the-Hash (PtH) – przejęcie tożsamości bez hasła
    4. Ataki typu Pass-the-Hash i Pass-the-Ticket w Środowiskach Windows (Kerberos)
    5. Ataki Pass-the-Hash – przejmowanie tożsamości bez znajomości hasła
    Czytaj  Salt i Hashing: Zrozumienie Nowoczesnych Metod Przechowywania Haseł i Ich Łamania
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również