Natychmiastowa pomoc przy ataku hakerskim

Zarządzanie incydentami cyberbezpieczeństwa z natychmiastową reakcją.

Dowiedz się więcej

Pass-the-Hash – atak, który omija logowanie i hasła

Atak Pass-the-Hash to technika uwierzytelniania w systemach Windows, w której atakujący wykorzystuje skradziony hash zamiast samego hasła użytkownika. Hash, jako kryptograficzna reprezentacja hasła, może zostać użyty bez jego znajomości do uzyskania dostępu do systemu. 

Zrozumienie sposobu działania Pass-the-Hash oraz metod jego wykrywania i ograniczania jest istotne dla oceny ryzyka w środowiskach Windows i infrastrukturze domenowej.

Czym jest i na czym polega atak Pass-the-Hash?

W przeciwieństwie do klasycznych ataków polegających na przejęciu lub złamaniu hasła, Pass-the-Hash bazuje na użyciu już istniejących danych uwierzytelniających dostępnych w systemie. Hash, będący wynikiem jednokierunkowej funkcji kryptograficznej, stanowi reprezentację hasła używaną przez system do celów uwierzytelniania. Celem nie jest więc odzyskanie oryginalnego hasła, lecz wykorzystanie jego kryptograficznego odpowiednika do uzyskania dostępu do zasobów.

Technika ta występuje przede wszystkim w środowiskach wykorzystujących mechanizmy uwierzytelniania Windows oparte o NTLM oraz infrastrukturę Active Directory, gdzie hashe mogą być wykorzystywane jako materiał uwierzytelniający w określonych scenariuszach systemowych.

Mechanizm uwierzytelniania NTLM i rola hashy haseł

NTLM (NT LAN Manager) to mechanizm uwierzytelniania stosowany w systemach Windows, wykorzystywany w środowiskach domenowych oraz tam, gdzie nie stosuje się Kerberos. Opiera się na modelu challenge-response, w którym hasło nie jest przesyłane przez sieć.

Zamiast niego system wykorzystuje hash przechowywany lokalnie (np. w SAM lub pamięci LSASS), który służy do wygenerowania odpowiedzi na wyzwanie serwera. Następnie serwer weryfikuje ją na podstawie zapisanej wartości.

Proces obejmuje:

  • wysłanie wyzwania przez serwer,
  • wygenerowanie odpowiedzi na podstawie hasha,
  • weryfikację odpowiedzi po stronie serwera.

Wektory pozyskiwania hashy przez atakujących

Atak Pass-the-Hash wymaga wcześniejszego przejęcia hashy, co zwykle następuje po kompromitacji pojedynczego hosta w środowisku. Najczęściej wykorzystywane źródła obejmują pamięć procesu LSASS, w której znajdują się dane aktywnych sesji logowania. Jej analiza pozwala na ekstrakcję hashy użytkowników bez konieczności ich łamania.

Dodatkowo stosowane są:

  • zrzuty pamięci systemowej,
  • odczyt lokalnych baz uwierzytelniania (SAM),
  • techniki credential dumpingu po eskalacji uprawnień.

W większości przypadków warunkiem jest uzyskanie uprawnień administracyjnych na hoście, co umożliwia dostęp do pamięci procesów i danych uwierzytelniających innych użytkowników.

Przebieg ataku Pass-the-Hash w środowisku Windows

Typowy przebieg ataku można podzielić na kilka etapów:

  1. Pozyskanie hashy użytkowników z systemu, najczęściej poprzez ekstrakcję danych z pamięci procesu LSASS lub innych komponentów systemu przechowujących poświadczenia aktywnych sesji
  2. Przygotowanie przejętych hashy do użycia w procesie uwierzytelniania, bez konieczności ich łamania lub odtwarzania hasła
  3. Wykorzystanie hashy jako materiału uwierzytelniającego do inicjowania sesji logowania w środowisku Windows
  4. Przeprowadzenie uwierzytelnienia w oparciu o protokół NTLM, który dopuszcza użycie hashy w procesie challenge-response
  5. Uzyskanie dostępu do zasobów systemowych przypisanych do przejętego konta, takich jak udziały sieciowe, usługi oraz zasoby domenowe
  6. Realizacja ruchu bocznego (lateral movement) poprzez wykorzystanie kolejnych systemów w sieci organizacji
  7. Stopniowe rozszerzanie dostępu w środowisku Active Directory poprzez wykorzystanie przejętych kont o wyższych uprawnieniach

Wykrywanie ataku Pass-the-Hash w infrastrukturze IT

Wykrywanie opiera się na analizie zachowań oraz korelacji zdarzeń w systemach SOC, IAM i AD. Monitorowane są logi NTLM oraz aktywność użytkowników, co pozwala identyfikować anomalie, takie jak:

  • logowania z nietypowych hostów,
  • odstępstwa od standardowych wzorców dostępu,
  • szybkie przemieszczanie się pomiędzy systemami,
  • nietypowa aktywność kont uprzywilejowanych.

Systemy EDR i XDR analizują dodatkowo aktywność endpointów, w tym dostęp do pamięci procesów oraz nietypowe operacje uwierzytelniania. Korelacja danych z warstw sieciowych i systemowych pozwala identyfikować scenariusze lateral movement.

Skutki bezpieczeństwa i ryzyko dla organizacji

Skuteczny atak Pass-the-Hash może prowadzić do przejęcia kontroli nad zasobami organizacji na wielu poziomach, ponieważ umożliwia wykorzystanie istniejących kont użytkowników i administratorów bez znajomości ich haseł.

Konsekwencje obejmują:

  • przejęcie kont użytkowników oraz kont uprzywilejowanych, w tym administratorów domeny
  • dostęp do danych przechowywanych lokalnie na stacjach roboczych oraz w zasobach sieciowych
  • eskalację uprawnień w środowisku Active Directory poprzez wykorzystanie kont o wyższym poziomie dostępu
  • przejęcie kontroli nad usługami domenowymi i elementami infrastruktury IT

W bardziej zaawansowanych scenariuszach atak stanowi etap poprzedzający działania takie jak ransomware, eksfiltracja danych czy utrzymanie trwałego dostępu (persistence).

Metody ochrony przed atakiem Pass-the-Hash

Ochrona przed Pass-the-Hash opiera się na ograniczeniu możliwości pozyskania i wykorzystania hashy w środowisku Windows. Istotne jest zmniejszenie lub eliminacja użycia NTLM na rzecz Kerberos, co ogranicza scenariusze, w których hash może zostać wykorzystany do uwierzytelnienia. Ważnym elementem jest także zabezpieczenie procesu LSASS, aby utrudnić odczyt jego pamięci i ekstrakcję poświadczeń z systemu.

Duże znaczenie ma segmentacja sieci, która ogranicza możliwość przemieszczania się pomiędzy hostami, oraz stosowanie zasady najmniejszych uprawnień, co redukuje skutki przejęcia pojedynczego konta. W środowiskach Active Directory istotne jest również rozdzielenie kont administracyjnych od użytkowników standardowych.

Uzupełnieniem są mechanizmy monitoringu w SOCEDR/XDR, które pozwalają wykrywać nietypowe wzorce logowań i aktywności wskazujące na użycie skradzionych poświadczeń.

FAQ – najczęstsze pytania o atak Pass-the-Hash

Jakie systemy są najbardziej narażone na atak Pass-the-Hash?

Najbardziej narażone są środowiska Windows korzystające z NTLM oraz Active Directory, szczególnie przy braku odpowiedniego hardeningu.

Jak wykryć atak Pass-the-Hash w sieci firmowej?

Wykrycie opiera się na analizie logów uwierzytelniania, korelacji zdarzeń w SOC oraz detekcji anomalii w ruchu sieciowym i aktywności użytkowników.

Czy EDR lub XDR może wykryć Pass-the-Hash?

Tak, poprzez analizę zachowań procesów, prób dostępu do LSASS oraz nietypowych aktywności uwierzytelniania na endpointach.

Czy MFA chroni przed atakiem Pass-the-Hash?

MFA może ograniczyć ryzyko, ale nie zawsze blokuje samą technikę, szczególnie w scenariuszach lokalnego wykorzystania hashy w NTLM.