Pass-the-Hash
Что такое Pass-the-Hash?
Pass-the-HashАтака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.
Pass-the-Hash (PtH) эксплуатирует особенность NTLM, при которой хеш пароля фактически является самой учётной записью: любой процесс, владеющий хешем, способен пройти аутентификацию без знания пароля. Атакующие извлекают хеши из памяти LSASS или базы SAM (обычно с помощью Mimikatz или secretsdump) и воспроизводят их против SMB, WMI и служб удалённого администрирования для горизонтального перемещения. В MITRE ATT&CK техника учитывается как T1550.002 (Use Alternate Authentication Material). Защита включает Credential Guard, ограничение повторного использования локальных администраторов через LAPS, многоуровневую модель администрирования, отключение NTLM по возможности и мониторинг обращения к LSASS и аномальных входов.
● Примеры
- 01
Оператор извлекает NTLM-хеши с помощью Mimikatz и аутентифицируется на других серверах через SMB.
- 02
Повторное использование хеша локального администратора по всей сети для перехода с рабочей станции на файловый сервер.
● Частые вопросы
Что такое Pass-the-Hash?
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Pass-the-Hash?
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.
Как работает Pass-the-Hash?
Pass-the-Hash (PtH) эксплуатирует особенность NTLM, при которой хеш пароля фактически является самой учётной записью: любой процесс, владеющий хешем, способен пройти аутентификацию без знания пароля. Атакующие извлекают хеши из памяти LSASS или базы SAM (обычно с помощью Mimikatz или secretsdump) и воспроизводят их против SMB, WMI и служб удалённого администрирования для горизонтального перемещения. В MITRE ATT&CK техника учитывается как T1550.002 (Use Alternate Authentication Material). Защита включает Credential Guard, ограничение повторного использования локальных администраторов через LAPS, многоуровневую модель администрирования, отключение NTLM по возможности и мониторинг обращения к LSASS и аномальных входов.
Как защититься от Pass-the-Hash?
Защита от Pass-the-Hash обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Pass-the-Hash?
Распространённые альтернативные названия: PtH.
● Связанные термины
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- identity-access№ 584
Kerberos
Сетевой протокол аутентификации на основе билетов, использующий симметричную криптографию и доверенный центр распределения ключей для безопасного единого входа.
- defense-ops№ 606
Латеральное перемещение (Lateral Movement)
Тактика MITRE ATT&CK (TA0008), охватывающая техники, позволяющие атакующему перемещаться от одного скомпрометированного хоста к другим в среде.
- defense-ops№ 229
Доступ к учётным данным (Credential Access)
Тактика MITRE ATT&CK (TA0006), охватывающая техники кражи имён учётных записей, паролей, токенов и других секретов.
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- attacks№ 791
Pass-the-Ticket
Атака на Active Directory: повторное использование украденного Kerberos-билета для имперсонации пользователя или службы без знания пароля.
● См. также
- № 107BloodHound
- № 746Атака NTLM Relay
- № 1057Атака SMB Relay
- № 620LLMNR-отравление
- № 715NBT-NS-отравление
- № 924Атака с использованием Responder