🔓 Pass-the-Hash (PtH) – ataki bez znajomości haseł
🧠 Czym jest atak Pass-the-Hash?
Pass-the-Hash to technika ataku umożliwiająca przejęcie kontroli nad systemem bez konieczności poznania hasła ofiary. Zamiast tego cyberprzestępcy wykorzystują hash hasła, który przechwycili np. z pamięci RAM lub plików systemowych, i używają go do uwierzytelnienia w innych systemach, które akceptują dany hash.
➡️ Atak PtH wykorzystuje fakt, że systemy Windows (szczególnie w środowiskach domenowych) akceptują hashe NTLM jako metodę uwierzytelnienia.
📜 Jak działa Pass-the-Hash?
- Zbieranie hashy
Atakujący musi zdobyć hash NTLM. Najczęściej używa do tego:- narzędzi typu Mimikatz lub LSASS dump,
- ataku fizycznego (dostęp lokalny),
- złośliwego oprogramowania z uprawnieniami administratora.
- Użycie hasha
Zamiast wpisywać hasło, atakujący używa zdobytego hasha, aby:- połączyć się z zasobem SMB lub RDP,
- uzyskać sesję na zdalnym systemie.
- Lateral movement (ruch boczny)
Dzięki temu może poruszać się po sieci, przejmując kolejne maszyny – bez znajomości żadnego hasła.
🛠️ Narzędzia wykorzystywane do PtH
- Mimikatz – najpopularniejsze narzędzie do pozyskiwania hashy z pamięci RAM.
- Impacket (psexec.py, smbexec.py) – zestaw narzędzi do wykonywania zdalnych komend z użyciem hashy.
- Windows Credential Editor (WCE) – stary, ale wciąż użyteczny do testów.
- CrackMapExec – automatyzuje ataki lateralne w sieciach domenowych.
📌 Przykład ataku PtH
psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:6d5c2b5d5b2c1f328b90e79e2c45f847 administrator@192.168.1.100
➡️ Użycie hashy do uruchomienia polecenia na zdalnym systemie jako administrator.
📉 Zagrożenia
- Brak konieczności łamania haseł – wystarczy hash.
- Szybka propagacja ataku w sieciach domenowych.
- Ominięcie zasad złożoności hasła i rotacji – hashe mogą być długo aktywne.
- Trudna detekcja, zwłaszcza jeśli atakujący używa narzędzi typu „Living off the Land”.
🛡️ Jak się chronić przed Pass-the-Hash?
🔐 Podstawowe środki zaradcze:
- Minimalizacja uprawnień administratora – unikanie stałych kont z wysokimi uprawnieniami.
- Segmentacja sieci – ograniczenie komunikacji między hostami.
- Używanie LSA Protection – zabezpieczenie procesów (LSASS) przed dumpowaniem pamięci.
- Hasła jednorazowe / 2FA – hasła tymczasowe, które nie mają długiego okresu ważności.
- Zasada Just Enough Administration (JEA) – ograniczenie działań administratora.
📈 Zaawansowane techniki:
- Windows Defender Credential Guard – izolacja danych logowania.
- Detection & response (EDR/SIEM) – monitorowanie logowań z użyciem hashy.
- Monitoring ruchu SMB/RPC – nietypowe sesje mogą wskazywać na atak PtH.
- Zmniejszenie zależności od NTLM – przejście na Kerberos.
🧾 Podsumowanie
Ataki Pass-the-Hash to jedno z ulubionych narzędzi hakerów działających w sieciach firmowych. Wymagają one już pewnego dostępu do systemu, ale pozwalają na ciche i skuteczne poruszanie się po infrastrukturze IT, często przez wiele miesięcy.
➡️ Ochrona przed PtH to nie tylko kwestia techniczna – to również kwestia polityki dostępu i segmentacji sieci.
🔍 Skanowanie plików lokalnych przez Google Play Protect: Czy Twoje dane są bezpieczne przed analizą? 📱 Wprowadzenie do Google Play Czytaj dalej
🧨📱 Android pod ostrzałem: Jak legalne aplikacje i spyware zagrażają bezpieczeństwu użytkowników na niespotykaną dotąd skalę Jeszcze kilkanaście lat temu Czytaj dalej
