Pass-the-Hash
Что такое Pass-the-Hash?
Pass-the-HashАтака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.
Pass-the-Hash (PtH) эксплуатирует особенность NTLM, при которой хеш пароля фактически является самой учётной записью: любой процесс, владеющий хешем, способен пройти аутентификацию без знания пароля. Атакующие извлекают хеши из памяти LSASS или базы SAM (обычно с помощью Mimikatz или secretsdump) и воспроизводят их против SMB, WMI и служб удалённого администрирования для горизонтального перемещения. В MITRE ATT&CK техника учитывается как T1550.002 (Use Alternate Authentication Material). Защита включает Credential Guard, ограничение повторного использования локальных администраторов через LAPS, многоуровневую модель администрирования, отключение NTLM по возможности и мониторинг обращения к LSASS и аномальных входов.
● Примеры
- 01
Оператор извлекает NTLM-хеши с помощью Mimikatz и аутентифицируется на других серверах через SMB.
- 02
Повторное использование хеша локального администратора по всей сети для перехода с рабочей станции на файловый сервер.
● Частые вопросы
Что такое Pass-the-Hash?
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Pass-the-Hash?
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.
Как защититься от Pass-the-Hash?
Защита от Pass-the-Hash обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Pass-the-Hash?
Распространённые альтернативные названия: PtH.