Pass-the-Hash
Was ist Pass-the-Hash?
Pass-the-HashCredential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.
Pass-the-Hash (PtH) nutzt aus, dass NTLM den Passwort-Hash als das eigentliche Authentifizierungsmaterial behandelt: Jeder Prozess, der den Hash besitzt, kann sich anmelden, ohne das Passwort zu kennen. Angreifer extrahieren Hashes aus dem LSASS-Speicher oder der SAM-Datenbank (oft mit Mimikatz oder secretsdump) und spielen sie gegen SMB, WMI oder Remote-Management-Dienste zurueck, um sich lateral zu bewegen. MITRE ATT&CK fuehrt die Technik als T1550.002 unter Use Alternate Authentication Material. Schutzmassnahmen umfassen Credential Guard, lokale Admin-Trennung per LAPS, ein Tiering-Modell, das Deaktivieren von NTLM und das Monitoring von LSASS-Zugriffen und ungewoehnlichen Logons.
● Beispiele
- 01
Ein Operator dumpt NTLM-Hashes mit Mimikatz und authentifiziert sich damit per SMB an weiteren Servern.
- 02
Wiederverwendung eines lokalen Admin-Hashes im gesamten Netz, um von einer Workstation auf einen Fileserver zu wechseln.
● Häufige Fragen
Was ist Pass-the-Hash?
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Pass-the-Hash?
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.
Wie funktioniert Pass-the-Hash?
Pass-the-Hash (PtH) nutzt aus, dass NTLM den Passwort-Hash als das eigentliche Authentifizierungsmaterial behandelt: Jeder Prozess, der den Hash besitzt, kann sich anmelden, ohne das Passwort zu kennen. Angreifer extrahieren Hashes aus dem LSASS-Speicher oder der SAM-Datenbank (oft mit Mimikatz oder secretsdump) und spielen sie gegen SMB, WMI oder Remote-Management-Dienste zurueck, um sich lateral zu bewegen. MITRE ATT&CK fuehrt die Technik als T1550.002 unter Use Alternate Authentication Material. Schutzmassnahmen umfassen Credential Guard, lokale Admin-Trennung per LAPS, ein Tiering-Modell, das Deaktivieren von NTLM und das Monitoring von LSASS-Zugriffen und ungewoehnlichen Logons.
Wie schützt man sich gegen Pass-the-Hash?
Schutzmaßnahmen gegen Pass-the-Hash kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Pass-the-Hash?
Übliche alternative Bezeichnungen: PtH.
● Verwandte Begriffe
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- identity-access№ 584
Kerberos
Ticket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
- defense-ops№ 606
Lateral Movement
MITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten.
- defense-ops№ 229
Credential Access
MITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- attacks№ 791
Pass-the-Ticket
Active-Directory-Angriff, der ein gestohlenes Kerberos-Ticket erneut nutzt, um sich als Benutzer oder Dienst auszugeben, ohne das Passwort zu kennen.
● Siehe auch
- № 107BloodHound
- № 746NTLM-Relay-Angriff
- № 1057SMB-Relay-Angriff
- № 620LLMNR-Poisoning
- № 715NBT-NS-Poisoning
- № 924Responder-Angriff