fbpx

Atak Pass-the-Hash (PtH)

Pass the hash (PtH) to rodzaj ataku, który pozwala cyberprzestępcom uzyskać nieautoryzowany dostęp do systemów bez potrzeby łamania haseł. W artykule wyjaśnimy, na czym polega ten atak, jak działa, kto jest na niego najbardziej podatny oraz jak się przed nim chronić.

Spis treści:

atak Pass the Hash

Atak „pass-the-hash” – definicja i znaczenie

Atak „pass-the-hash” to rodzaj cyberataku, w którym cyberprzestępcy przechwytują skrót hasła (ang. password hash) i wykorzystują go do uzyskania dostępu do systemu lub sieci. W przeciwieństwie do innych metod ataków na hasła, takich jak brute force, w tej technice nie ma potrzeby łamania hasła ani poznania jego pierwotnej treści. Przechwycony hash jest używany bezpośrednio do uwierzytelnienia użytkownika i uzyskania dostępu do systemu, co sprawia, że jest to metoda szybka i skuteczna.

Pass-the-hash definicja: Skrót hasła to zakodowana wersja hasła, tworzona za pomocą jednokierunkowego algorytmu kryptograficznego. Jego celem jest zabezpieczenie haseł poprzez przechowywanie ich w formie niemożliwej do bezpośredniego odczytania. Jednak w przypadku ataku „pass-the-hash” skrót staje się luką, ponieważ może być używany jak prawdziwe hasło, umożliwiając dostęp do systemu bez konieczności przełamywania szyfrowania. To sprawia, że ataki te stanowią poważne zagrożenie dla organizacji, zwłaszcza tych z rozbudowanymi sieciami i wieloma punktami dostępu.

 

Jak działa atak pass the hash?

Atak pass-the-hash składa się z kilku kluczowych etapów:

  1. Uzyskanie dostępu do systemu ofiary. Cyberprzestępcy często stosują techniki phishingowe lub złośliwe oprogramowanie, aby uzyskać pierwsze uprawnienia w systemie.
  2. Kradzież skrótu hasła. Po uzyskaniu dostępu, napastnik używa narzędzi takich jak Mimikatz do przechwycenia skrótów hasła z pamięci systemowej.
  3. Wykorzystanie skrótu do uwierzytelniania. Uzyskany hash jest następnie używany do imitowania użytkownika i uzyskiwania dostępu do innych systemów w sieci, bez potrzeby podawania hasła w formie tekstowej.
  4. Lateral movement. Dzięki przechwyconym hashom, atakujący mogą przemieszczać się po sieci, eskalując uprawnienia i zbierając więcej danych.

Przykład: Cyberprzestępca uzyskuje hash konta uprzywilejowanego, co pozwala mu przejąć pełną kontrolę nad siecią.

Dlaczego jest groźny?

Ataki „pass-the-hash” są trudne do wykrycia, ponieważ opierają się na autentycznych danych uwierzytelniających. Nawet zaawansowane systemy bezpieczeństwa często nie są w stanie odróżnić prawdziwego użytkownika od cyberprzestępcy wykorzystującego skradziony hash.

Zagrożenia wynikające z pass-the-hash:

  • Kradzież danych: Atakujący mogą uzyskać dostęp do poufnych informacji.
  • Rozprzestrzenianie złośliwego oprogramowania: Hashy można użyć do instalacji ransomware, jak to miało miejsce w przypadku ataku Hive w 2022 roku.
  • Eskalacja uprawnień: Uzyskanie dostępu do kont administracyjnych pozwala na pełną kontrolę nad siecią.
 

Przykład ataku „pass-the-hash” z użyciem Mimikatz

Jednym z najbardziej znanych przykładów ataku „pass-the-hash” był atak Hive w 2022 roku, gdzie wykorzystano podatność ProxyShell w Microsoft Exchange Server. Cyberprzestępcy użyli narzędzia Mimikatz do kradzieży hashów NTLM i przejęcia systemów klientów. Atak zakończył się wdrożeniem ransomware, które sparaliżowało kluczowe sektory, takie jak energetyka, finanse i opieka zdrowotna.

 

Kto jest najbardziej podatny na atak „pass-the-hash”?

Najbardziej narażone są systemy oparte na protokołach NTLM (New Technology LAN Manager). NTLM, choć zastąpiony przez Kerberos w nowszych systemach, nadal jest używany w wielu środowiskach dla kompatybilności. Jego słabości, takie jak brak solenia hashów, czynią go łatwym celem dla cyberprzestępców.

Szczególnie zagrożone są:

  • Systemy Windows z włączonym NTLM.
  • Organizacje korzystające z nieaktualizowanego oprogramowania.
  • Sieci bez odpowiednich środków kontroli dostępu.
 
CrowdStrike Falcon Identity Protection
Wykrywaj nietypowe zachowania użytkowników i blokuj podejrzane sesje!

Jak chronić się przed atakiem „pass-the-hash”?

Istnieje kilka skutecznych metod ochrony przed atakami „pass-the-hash”:

  1. Ograniczenie dostępu i przywilejów:
  2. Wyłączenie NTLM: Ograniczenie użycia NTLM w sieci i przejście na nowsze protokoły, takie jak Kerberos.
  3. Implementacja PAM (Privileged Access Management): Zarządzanie dostępem uprzywilejowanym pozwala ograniczyć wykorzystanie kont administracyjnych przez atakujących.
  4. Wdrożenie ITDR: Rozwiązania takie jak Falcon Identity Protection umożliwiają wykrywanie nietypowych zachowań użytkowników i blokowanie podejrzanych sesji.
  5. Regularna rotacja haseł: Częsta zmiana haseł minimalizuje ryzyko wykorzystania skradzionych hashów.
  6. Testy penetracyjne i threat hunting: Regularne testy penetracyjne oraz proaktywne poszukiwanie zagrożeń pozwalają na wykrycie słabych punktów w zabezpieczeniach.

Podsumowanie

Atak „pass-the-hash” stanowi jedno z najpoważniejszych zagrożeń w cyberbezpieczeństwie. Dzięki wykorzystaniu skrótów hasła, cyberprzestępcy mogą uzyskać pełny dostęp do sieci i zasobów organizacji, bez potrzeby łamania haseł. Aby skutecznie chronić się przed tym zagrożeniem, konieczne jest wdrożenie zaawansowanych rozwiązań, takich jak PAM, ITDR czy Zero Trust, a także regularne testowanie zabezpieczeń. Pamiętajmy, że proaktywne podejście do bezpieczeństwa to klucz do ochrony przed tego typu atakami.

Jakie rozwiązanie do ochrony danych firmowych wybrać?

FAQ

Atak „pass-the-hash” to metoda cyberprzestępcza, w której przechwycone skróty haseł (hashy) są wykorzystywane do uzyskania dostępu do systemu lub sieci, bez konieczności łamania hasła. Hash działa jak klucz umożliwiający uwierzytelnienie użytkownika.

NTLM, jako starszy protokół uwierzytelniania, posiada liczne luki, takie jak brak solenia hashy. To czyni systemy korzystające z NTLM szczególnie atrakcyjnym celem dla cyberprzestępców, nawet w środowiskach z nowoczesnymi zabezpieczeniami.

Aby zmniejszyć ryzyko, organizacje powinny wdrożyć model Zero Trust, zminimalizować użycie NTLM, stosować systemy zarządzania dostępem uprzywilejowanym (PAM) oraz regularnie przeprowadzać testy penetracyjne i analizę zachowań użytkowników.

Ataki te wykorzystują autentyczne dane uwierzytelniające, co oznacza, że działania cyberprzestępców mogą wyglądać jak legalne logowania użytkowników. Tradycyjne systemy zabezpieczeń często nie potrafią rozróżnić autentycznego użytkownika od napastnika.

Wydarzenia:

Current Month

Zadaj pytanie naszemu specjaliście
ds. bezpieczeństwa!

Wypełnij Formularz: