Pass-the-Hash
O que é Pass-the-Hash?
Pass-the-HashAtaque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.
Pass-the-Hash (PtH) aproveita o facto de a autenticacao NTLM tratar o hash da palavra-passe como a credencial efetiva: qualquer processo que possua o hash pode autenticar-se sem conhecer a palavra-passe. Os atacantes extraem hashes da memoria do LSASS ou da base SAM (normalmente com Mimikatz ou secretsdump) e reproduzem-nos contra SMB, WMI ou servicos de administracao remota para realizar movimento lateral. O MITRE ATT&CK classifica esta tecnica como T1550.002, em Use Alternate Authentication Material. As defesas incluem ativar o Credential Guard, restringir a reutilizacao de administradores locais com LAPS, aplicar administracao em camadas, desativar NTLM quando possivel e monitorizar acessos ao LSASS e logons anomalos.
● Exemplos
- 01
Um operador extrai hashes NTLM com Mimikatz e autentica-se noutros servidores via SMB.
- 02
Reutilizar o hash de administrador local em toda a rede para saltar de uma estacao para um servidor de ficheiros.
● Perguntas frequentes
O que é Pass-the-Hash?
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Pass-the-Hash?
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.
Como funciona Pass-the-Hash?
Pass-the-Hash (PtH) aproveita o facto de a autenticacao NTLM tratar o hash da palavra-passe como a credencial efetiva: qualquer processo que possua o hash pode autenticar-se sem conhecer a palavra-passe. Os atacantes extraem hashes da memoria do LSASS ou da base SAM (normalmente com Mimikatz ou secretsdump) e reproduzem-nos contra SMB, WMI ou servicos de administracao remota para realizar movimento lateral. O MITRE ATT&CK classifica esta tecnica como T1550.002, em Use Alternate Authentication Material. As defesas incluem ativar o Credential Guard, restringir a reutilizacao de administradores locais com LAPS, aplicar administracao em camadas, desativar NTLM quando possivel e monitorizar acessos ao LSASS e logons anomalos.
Como se defender contra Pass-the-Hash?
As defesas contra Pass-the-Hash costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Pass-the-Hash?
Nomes alternativos comuns: PtH.
● Termos relacionados
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- identity-access№ 584
Kerberos
Protocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
- defense-ops№ 606
Movimento Lateral
Tática MITRE ATT&CK (TA0008) que reúne técnicas com que o atacante salta de um host comprometido para outros sistemas no ambiente.
- defense-ops№ 229
Acesso a Credenciais
Tática MITRE ATT&CK (TA0006) que reúne técnicas usadas para roubar nomes de conta, palavras-passe, tokens e outros segredos.
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- attacks№ 791
Pass-the-Ticket
Ataque ao Active Directory que reutiliza um ticket Kerberos roubado para se fazer passar por um utilizador ou servico sem conhecer a palavra-passe.
● Veja também
- № 107BloodHound
- № 746Ataque de NTLM Relay
- № 1057Ataque de SMB Relay
- № 620Envenenamento LLMNR
- № 715Envenenamento NBT-NS
- № 924Ataque com Responder