Co to jest atak Pass-the-Hash i jak go zatrzymać?

Atak pass-the-hash pozwala atakującemu zalogować się przy użyciu skradzionego materiału uwierzytelniającego bez poznania rzeczywistego hasła ofiary. To właśnie sprawia, że jest tak skuteczny po początkowym naruszeniu. Po przejęciu punktu końcowego atakujący może ponownie wykorzystać przechwycony skrót hasła, aby uzyskać dostęp do innych systemów, podszywać się pod uprawnionych użytkowników i przemieszczać się głębiej w środowisku. Baza MITRE ATT&CK klasyfikuje technikę Pass the Hash pod unikalnym identyfikatorem T1550.002 i umieszcza ją wśród technik wykorzystywanych do ruchu bocznego.

Sprawdź to MFA odporne na phishing

Brzmi ciekawie? Wypróbuj nasze odporne na phishing uwierzytelnianie wieloskładnikowe przez 30 dni za darmo i przekonaj się, jakie to proste.

Wypróbuj Nie wymaga karty

Technika pass-the-hash jest najsilniej powiązana ze środowiskami Windows i starszymi ścieżkami uwierzytelniania, które nadal opierają się na protokole NTLM. Firma Microsoft stopniowo odchodzi od protokołu NTLM u swoich klientów, ponieważ zwiększa on podatność na ponowne odtwarzanie poświadczeń, ataki relay i aktywność typu pass-the-hash, co wyjaśniono we wskazówkach firmy Microsoft dotyczących domyślnego wyłączania protokołu NTLM w systemie Windows. Dla zespołów bezpieczeństwa oznacza to, że pass the hash to coś więcej niż starsza koncepcja. To nadal praktyczne ryzyko wszędzie tam, gdzie materiał uwierzytelniający może zostać skradziony i ponownie użyty.

Kluczowe wnioski

Atak pass-the-hash (PtH) pozwala atakującemu uwierzytelnić się przy użyciu skradzionego materiału uwierzytelniającego bez znajomości oryginalnego hasła.
Ta technika jest najczęściej kojarzona ze środowiskami Windows, w których protokół NTLM jest nadal włączony.
Technika pass-the-hash działa, ponieważ samo posiadanie skrótu hasła wystarcza do uwierzytelnienia w uwierzytelnianiu NTLM.
Technika pass-the-hash jest niebezpieczna, ponieważ wspiera ruch boczny, eskalację uprawnień i szersze przejęcie tożsamości po początkowym naruszeniu.
Wykrywanie zależy od korelowania nietypowej aktywności protokołu NTLM, podejrzanego zachowania hosta i nietypowego użycia kont w różnych systemach.
Reakcja powinna koncentrować się na szybkim powstrzymaniu incydentu, ochronie poświadczeń, zbadaniu skali oraz odtworzeniu środowiska z założeniem, że incydent dotyczy zarówno punktu końcowego, jak i tożsamości.
Najlepsza obrona ma charakter warstwowy: ograniczenie ekspozycji protokołu NTLM, ochrona poświadczeń na punktach końcowych, ograniczenie uprawnień, zabezpieczenie zdalnego dostępu oraz zmniejszenie zależności od haseł wielokrotnego użytku.

Spis treści

Kluczowe wnioski
Co to jest atak pass-the-hash?
Jak działa atak pass-the-hash?
Jak wykrywać ataki pass-the-hash?
Jak reagować na ataki pass-the-hash?
Strategie zapobiegania i ograniczania pass-the-hash
Pass-the-hash a powiązane ataki na tożsamość
Dlaczego pass-the-hash nadal ma znaczenie we współczesnym cyberbezpieczeństwie
Często zadawane pytania o pass-the-hash
Końcowe przemyślenia o obronie przed pass-the-hash

Co to jest atak pass-the-hash?

Atak pass-the-hash to technika, w której atakujący kradnie skrót hasła i używa go do uwierzytelnienia się jako uprawniony użytkownik. Atakujący nie potrzebuje hasła w postaci jawnego tekstu. Jeśli docelowy system zaakceptuje skradziony skrót hasła podczas uwierzytelniania, taki skrót może wystarczyć do otwarcia nowej sesji i rozszerzenia dostępu w całej sieci.

W rzeczywistych incydentach często zamienia to jedno przejęte urządzenie w znacznie większy problem. Gdy atakujący uzyska punkt zaczepienia, skradzione skróty haseł mogą pomóc mu dotrzeć do serwerów plików, narzędzi do zdalnej administracji i kont o wyższej wartości. Dlatego technika pass-the-hash jest tak silnie kojarzona z ruchem bocznym, nadużywaniem uprawnień i naruszeniem usługi Active Directory.

ELI5: wyjaśnienie pass-the-hash

Logujesz się do domeny systemu Windows, a nie tylko do swojego komputera.
System Windows przechowuje w pamięci dowód logowania, czyli skrót hasła.
Atakujący, który dostanie się do Twojego komputera, może skopiować ten skrót hasła.
Ten sam skrót hasła działa na innych komputerach w tej samej domenie, ponieważ wszystkie ufają temu samemu centralnemu serwerowi, czyli usłudze Active Directory.
Dzięki temu atakujący może teraz logować się do tych innych komputerów jako Ty, bez Twojego hasła i bez MFA.

Dostanie się do jednego komputera ma zwykle niewielką wartość.

Atakujący chce dotrzeć do ważnych zasobów: serwerów, kont administratorów, udziałów plików, kopii zapasowych i kontrolerów domeny.

Twój skrót hasła jest kluczem, który pozwala mu przejść z Twojego komputera do tych systemów.

Dlaczego pass the hash ma znaczenie

Technika pass-the-hash jest niebezpieczna, ponieważ obala założenie, że wystarczy chronić hasła w postaci jawnego tekstu. Nawet jeśli organizacja nigdy nie ujawni oryginalnego hasła, atakujący nadal mogą ponownie wykorzystać materiał uwierzytelniający, który system Windows przechowuje po pomyślnym logowaniu. Jeśli ten materiał jest dostępny w przejętym systemie, staje się tokenem uwierzytelniającym wielokrotnego użytku.

Ryzyko wykracza poza pojedyncze narzędzie lub rodzinę złośliwego oprogramowania. Atakujący nie muszą łamać hasła, jeśli mogą odtworzyć to, czemu system operacyjny już ufa. W środowiskach z szerokimi uprawnieniami administracyjnymi, współdzielonymi lokalnymi poświadczeniami administratora lub słabą ochroną punktów końcowych może to prowadzić do szybkiego ruchu bocznego po pierwszym naruszeniu.

Organizacje, które ograniczają ekspozycję poświadczeń na punktach końcowych i zawężają miejsca, w których mogą logować się konta uprzywilejowane, są w znacznie lepszej pozycji do powstrzymania tej techniki. Mechanizmy takie jak uwierzytelnianie wieloskładnikowe pomagają chronić początkowe logowanie, ale rzeczywisty efekt pojawia się wtedy, gdy MFA jest połączone z utwardzaniem punktów końcowych, izolacją poświadczeń i ściślejszą kontrolą uprawnień.

Co to jest haszowanie hasła w praktyce

Haszowanie przekształca hasło w wartość o stałej długości przy użyciu jednokierunkowej funkcji matematycznej. Gdy użytkownik się loguje, system haszuje przesłane hasło i porównuje je z przechowywaną wartością. Jeśli wartości są zgodne, dostęp zostaje przyznany.

Haszowanie jest projektowane do weryfikacji, a nie do odzyskiwania. W przeciwieństwie do szyfrowania nie ma być odwracalne w celu ujawnienia oryginalnego hasła. To rozróżnienie ma tu znaczenie. W scenariuszu pass-the-hash atakujący zwykle nie musi odzyskiwać samego hasła. Problem polega na tym, że środowisko może nadal akceptować skradziony skrót hasła albo materiał uwierzytelniający od niego pochodzący jako dowód tożsamości.

Silna strategia przechowywania haseł nadal ma znaczenie. Nowoczesne metody haszowania haseł, takie jak algorytm Argon2id, algorytm bcrypt, algorytm scrypt i algorytm PBKDF2, są zaprojektowane tak, aby spowalniać łamanie offline i lepiej chronić przechowywane poświadczenia. Mimo to samo bezpieczne przechowywanie nie eliminuje ryzyka pass the hash, jeśli atakujący mogą wyodrębnić z punktów końcowych lub pamięci materiał uwierzytelniający nadający się do ponownego użycia.

Formaty skrótów haseł w odpowiednim kontekście

Niektóre ciągi skrótów zawierają prefiksy takie jak $1$, $5$ lub $6$. Te znaczniki są powszechnie kojarzone z uniksowymi formatami crypt.

$1$ jest kojarzone z formatem crypt opartym na algorytmie MD5.
$5$ oznacza format SHA-256 crypt.
$6$ oznacza format SHA-512 crypt.

Te szczegóły są przydatnym tłem do zrozumienia formatów przechowywania haseł, ale nie stanowią sedna klasycznego ataku pass-the-hash w systemie Windows. System Windows używa skrótów NTLM, a te skróty mogą być odtwarzane bezpośrednio, co umożliwia pass-the-hash. PtH jest przede wszystkim problemem ponownego użycia poświadczeń w uwierzytelnianiu korporacyjnym, szczególnie w środowiskach, w których starsze metody uwierzytelniania systemu Windows nadal są obecne w ścieżce dostępu.

Czy haszowanie haseł jest bezpieczne?

Haszowanie haseł jest jednocześnie bezpieczne i niezbędne, jeśli jest wykonywane poprawnie. Haseł nigdy nie powinno się przechowywać w postaci jawnego tekstu. Bezpieczny proces przechowywania haseł wykorzystuje nowoczesne algorytmy haszujące, unikalne sole oraz wolne, kosztowne obliczeniowo ustawienia, które znacznie utrudniają łamanie metodą brute force.

Jednak haszowanie haseł chroni jedynie przechowywaną bazę haseł. Jeśli atakujący przejmą punkt końcowy i wydobędą z pamięci materiał uwierzytelniający nadający się do ponownego użycia, taki jak skróty NTLM używane przez system Windows, nadal mogą się uwierzytelnić bez znajomości oryginalnego hasła. Dlatego obrona przed pass-the-hash wymaga czegoś więcej niż silnych praktyk przechowywania. Zależy od ograniczenia ekspozycji poświadczeń na punktach końcowych, zawężenia miejsc logowania kont uprzywilejowanych oraz egzekwowania ściślejszej kontroli uprawnień.

Dla organizacji zabezpieczających zdalny dostęp i zasoby wewnętrzne odporne na phishing metody uwierzytelniania pomagają zmniejszyć zależność od poświadczeń, które łatwiej ukraść lub odtworzyć. W połączeniu z utwardzaniem punktów końcowych i silnym zarządzaniem uprawnieniami te mechanizmy znacząco ograniczają zdolność atakującego do poruszania się ruchem bocznym po pierwszym naruszeniu.

Dlaczego ten atak nadal pojawia się w nowoczesnych środowiskach?

Technika pass the hash pozostaje aktualna, ponieważ wiele organizacji nadal działa przy mieszance starszych protokołów, starzejących się aplikacji, szerokiego dostępu administracyjnego i niespójnego utwardzania punktów końcowych. Jedna przejęta stacja robocza może stać się punktem startowym do szerszego dostępu, jeśli materiał uwierzytelniający jest ujawniony, a sieć ufa mu zbyt szeroko.

Ryzyko rośnie w środowiskach, które nadal zależą od protokołu NTLM, współdzielonych praktyk administracyjnych lub płaskich wewnętrznych ścieżek dostępu. Dążenie firmy Microsoft do odejścia od protokołu NTLM odzwierciedla tę rzeczywistość. Problem źródłowy nie dotyczy wyłącznie starej technologii. Dotyczy też utrzymywania architektur, które ułatwiają ponowne użycie poświadczeń bardziej, niż powinny.

Dlatego pass-the-hash pozostaje aktualnym zagrożeniem cyberbezpieczeństwa, a nie historycznym przypisem. Znajduje się na styku tożsamości, ochrony punktów końcowych i ruchu bocznego. W praktyce często ujawnia szersze słabości w tym, jak środowisko zarządza zaufaniem, uprawnieniami i uwierzytelnianiem.

Najważniejszy wniosek

Atak pass-the-hash pozwala atakującemu uwierzytelnić się przy użyciu skradzionego materiału uwierzytelniającego zamiast rzeczywistego hasła użytkownika. To sprawia, że jest to potężna technika wykorzystywana po naruszeniu, szczególnie w środowiskach Windows, gdzie starsze mechanizmy uwierzytelniania nadal tworzą luki.

Szerszy wniosek jest prosty. Bezpieczeństwo haseł nie dotyczy wyłącznie sposobu ich przechowywania. Dotyczy też tego, jak działa uwierzytelnianie, gdzie materiał uwierzytelniający jest ujawniany i czy atakujący może zamienić jeden skradziony sekret w dostęp do całego środowiska.

Jak działa atak pass-the-hash?

Atak pass-the-hash rozpoczyna się wtedy, gdy atakujący uzyskał już dostęp do urządzenia, konta lub sesji w środowisku. Następnie szuka materiału uwierzytelniającego nadającego się do ponownego użycia, który może pomóc mu uwierzytelnić się w innych systemach bez znajomości rzeczywistego hasła ofiary.

Według bazy MITRE ATT&CK pass the hash jest techniką ruchu bocznego, ponieważ pozwala przeciwnikom ponownie wykorzystywać skradzione skróty haseł w celu ominięcia normalnych mechanizmów kontroli dostępu i rozszerzenia swojego punktu zaczepienia.

Typowy łańcuch ataku

W większości środowisk atak rozwija się etapami.

Początkowe naruszenie

Atak rzadko zaczyna się od odtworzenia skrótu hasła. Atakujący najpierw potrzebuje punktu zaczepienia, który zdobywa przez phishing, złośliwe oprogramowanie, wystawioną usługę zdalnego dostępu lub przejęte konto. Gdy przejmie kontrolę nad stacją roboczą lub serwerem, zaczyna profilować środowisko: którzy użytkownicy się logują, jakie uprawnienia istnieją i gdzie zachodzi aktywność uwierzytelniania. To rozpoznanie przygotowuje grunt pod poszukiwanie materiału uwierzytelniającego.

Ekspozycja materiału uwierzytelniającego

Po uzyskaniu punktu zaczepienia atakujący szuka systemów, w których mogą znajdować się użyteczne sekrety uwierzytelniające. W środowiskach Windows często oznacza to maszyny, na których użytkownicy uprzywilejowani niedawno się logowali albo na których w pamięci przechowywany jest wrażliwy materiał uwierzytelniający. W swoim omówieniu funkcji Credential Guard firma Microsoft zauważa, że skróty haseł NTLM i inne sekrety są zasobami o wysokiej wartości, ponieważ nieuprawniony dostęp do nich umożliwia techniki odtwarzania poświadczeń, takie jak pass-the-hash i pass-the-ticket. Cel atakującego na tym etapie jest prosty: zdobyć artefakt poświadczeń, który można ponownie wykorzystać gdzie indziej.

Uwierzytelnienie bez hasła w postaci jawnego tekstu

To kluczowy moment. Zamiast łamać hasło, atakujący używa skradzionego skrótu hasła bezpośrednio w przepływie uwierzytelniania NTLM. Ponieważ protokół NTLM traktuje skrót hasła jako dowód tożsamości, każdy system, który nadal ufa tej ścieżce uwierzytelniania, zaakceptuje atakującego jako uprawnionego użytkownika. Atakujący może teraz otwierać nowe sesje, uzyskiwać dostęp do zasobów i wykonywać działania pod tożsamością ofiary. To właśnie sprawia, że pass-the-hash jest tak niebezpieczny: pojedynczy skradziony artefakt zamienia się w natychmiastowy, przenośny dostęp.

Ruch boczny

Po skutecznym uwierzytelnieniu atakujący zaczyna przemieszczać się po środowisku. Celuje w systemy oferujące szerszy dostęp, narzędzia administracyjne i cenniejsze dane. Nawet konto o umiarkowanych uprawnieniach, takie jak konto pracownika help desku, operatora serwera lub konto usługi, może znacząco poszerzyć zasięg atakującego, jeśli jego skrót hasła zostanie ponownie użyty na wielu maszynach.

Eskalacja uprawnień i rozszerzanie zasięgu

W miarę przemieszczania się atakujący szuka kont i infrastruktury o wyższej wartości. Kontrolery domeny, serwery zarządzające, serwery plików i systemy zdalnej administracji stają się głównymi celami, ponieważ ich przejęcie otwiera szerszą kontrolę nad środowiskiem. Każde nowe poświadczenie lub system rozszerza swobodę operacyjną atakującego i zwiększa promień rażenia początkowej kradzieży skrótu hasła.

Dlaczego technika PtH działa?

Technika pass the hash działa, ponieważ przepływy uwierzytelniania NTLM akceptują dowód pochodzący ze skrótu hasła zamiast wymagać samego hasła w postaci jawnego tekstu. W dobrze zabezpieczonym środowisku ta ekspozycja jest ograniczona. W starszym lub słabo segmentowanym środowisku może jednak wystarczyć, aby umożliwić atakującym poruszanie się po wielu systemach.

To jeden z powodów, dla których firma Microsoft naciska na organizacje, aby ograniczały zależność od protokołu NTLM. W swoich wskazówkach dotyczących zwiększania bezpieczeństwa systemu Windows przez domyślne wyłączanie protokołu NTLM firma Microsoft wskazuje pass-the-hash jako jedno z ryzyk związanych z dalszym korzystaniem z protokołu NTLM.

Co tak naprawdę oznacza skrót hasła w NTLM?

Skrót hasła NTLM w systemie Windows jest jednokierunkowym matematycznym przekształceniem hasła. W praktyce nie da się go odwrócić, aby odzyskać oryginalne hasło. Ale atakujący nie muszą go odwracać, ponieważ samo posiadanie skrótu hasła wystarcza do uwierzytelnienia w uwierzytelnianiu NTLM. To właśnie jest podstawowa słabość wykorzystywana przez PtH.

Dlaczego atakujący mogą użyć skrótu hasła bez znajomości hasła?

Uwierzytelnianie NTLM działa przez udowodnienie, że znasz skrót hasła, a nie samo hasło. Gdy system stawia użytkownikowi wyzwanie, proces uwierzytelniania używa skrótu hasła do obliczenia odpowiedzi. Jeśli odpowiedź zgadza się z tym, czego oczekuje serwer, dostęp zostaje przyznany.

Jeśli więc atakujący ukradnie skrót hasła z komputera1, może:

przedstawić ten skrót hasła innemu systemowi (komputer2)
obliczyć prawidłową odpowiedź na wyzwanie
zostać zaakceptowanym jako uprawniony użytkownik

A wszystko to bez poznania rzeczywistego hasła.

Dlatego PtH jest tak niebezpieczne: omija złożoność hasła, MFA związane z samym hasłem i wszystko, co chroni hasło w jawnej postaci.

Symboliczna ilustracja skrótu hasła powiązanego z atakiem pass-the-hash.

Jak skrót hasła z komputera1 pomaga uzyskać dostęp do komputera2?

1. Ponieważ skrót hasła należy do konta użytkownika, a nie do komputera

Gdy atakujący wydobywa skrót hasła z maszyny, zwykle kradnie skrót hasła:

lokalnego konta użytkownika na tej maszynie lub
konta domenowego, które logowało się do tej maszyny.

Te konta mogą być również ważne w innych systemach.

2. Konta lokalne są często ponownie używane na wielu maszynach

W wielu środowiskach administratorzy używają tego samego lokalnego hasła administratora na wielu punktach końcowych. To oznacza, że:

computer1 → lokalne hasło administratora = P@ssw0rd
computer2 → lokalne hasło administratora = P@ssw0rd

Jeśli hasło jest takie samo, to skrót hasła również jest taki sam, więc atakujący może uwierzytelnić się na komputerze2 przy użyciu skrótu hasła skradzionego z komputera1.

To jedna z najczęstszych ścieżek PtH spotykanych w praktyce.

3. Konta domenowe są ważne wszędzie w domenie

W domenie ten sam skrót hasła działa na wszystkich maszynach, do których to konto ma dostęp.

Jeśli obie maszyny są przyłączone do domeny usługi Active Directory, wówczas:

Użytkownik domenowy loguje się do komputera1.
Jego domenowy skrót hasła jest buforowany lub obecny w pamięci.
Atakujący kradnie ten skrót hasła.
To samo konto domenowe może uwierzytelnić się na komputerze2.

Działa to, ponieważ kontroler domeny weryfikuje skrót hasła, a nie pojedyncza maszyna.

Kiedy skrót hasła nie zadziała na innej maszynie

Są sytuacje, w których skradziony skrót hasła z komputera1 jest bezużyteczny na komputerze2:

Lokalne hasła administratora są unikalne, na przykład dzięki rozwiązaniu LAPS.
Konto, którego skrót hasła został skradziony, nie ma uprawnień na komputerze2.
Środowisko stosuje zabezpieczenia uniemożliwiające odtwarzanie skrótów haseł.

Dlatego nowoczesne utwardzanie koncentruje się na izolacji poświadczeń i unikalnych lokalnych hasłach.

Jaką rolę odgrywa narzędzie Mimikatz?

Narzędzie Mimikatz jest jednym z najbardziej znanych narzędzi powiązanych z kradzieżą poświadczeń w środowiskach Windows. Często wspomina się o nim w dyskusjach o technice Pass the Hash, ponieważ pomogło pokazać, jak atakujący mogą wyodrębniać lub uzyskiwać dostęp do materiału uwierzytelniającego z przejętych systemów i wykorzystywać go do ruchu bocznego.

Jego znaczenie nie dotyczy wyłącznie samego narzędzia, ale również tego, co ujawniło obrońcom: jeśli skróty haseł lub inne sekrety uwierzytelniające są ujawnione na punkcie końcowym, atakujący mogą być w stanie ponownie wykorzystać je bez znajomości hasła w postaci jawnego tekstu. Dlatego narzędzie Mimikatz nadal pozostaje częstym punktem odniesienia w zaleceniach dotyczących ochrony poświadczeń, utwardzania administracyjnego i ograniczania ruchu bocznego.

Dlaczego konta uprzywilejowane zwiększają ryzyko?

Skradziony skrót hasła zwykłego użytkownika już stanowi problem. Skradziony skrót hasła administratora jest znacznie groźniejszy.

Konta uprzywilejowane mogą dać atakującym dostęp do:

ścieżek zdalnej administracji
narzędzi do zarządzania serwerami
wrażliwych udziałów plików
infrastruktury katalogowej
samych mechanizmów bezpieczeństwa

Dlatego ograniczanie pass-the-hash jest ściśle powiązane z higieną dostępu uprzywilejowanego, utwardzaniem punktów końcowych i silniejszą ochroną logowania w systemach Windows. Dla organizacji, które chcą zmniejszyć ekspozycję wokół logowań administratorów i stacji roboczych, funkcja Windows Logon MFA dodaje dodatkowy krok weryfikacji w miejscu, które atakujący często próbują wykorzystać.

Czym pass the hash różni się od innych ataków na poświadczenia?

Nie każdy atak na poświadczenia działa w ten sam sposób.

Pass the hash vs. credential stuffing

Atak credential stuffing opiera się na skradzionych nazwach użytkowników i hasłach w postaci jawnego tekstu, które są odtwarzane w różnych usługach. Z kolei pass-the-hash opiera się na skradzionych skrótach haseł lub ściśle powiązanym materiale uwierzytelniającym wewnątrz środowiska.

Pass the hash vs. password spraying

Atak password spraying jest atakiem zgadywania. Atakujący próbuje niewielkiej liczby popularnych haseł na wielu kontach, aby uniknąć blokad. Pass-the-hash różni się tym, że atakujący niczego nie zgaduje. Ponownie wykorzystuje prawidłowy materiał uwierzytelniający, który został już skradziony.

Pass the hash vs. pass the ticket

Technika pass the ticket koncentruje się na skradzionych biletach Kerberos. Z kolei pass-the-hash jest silniej związane z uwierzytelnianiem opartym na protokole NTLM. Obie techniki umożliwiają ruch boczny, ale opierają się na różnych artefaktach i różnych elementach stosu uwierzytelniania.

Dlaczego wykrywanie PtH jest tak trudne?

Jednym z powodów, dla których ta technika pozostaje skuteczna, jest to, że często zlewa się z normalną aktywnością. Atakujący nie zawsze wywołuje oczywiste błędy haseł ani głośne wzorce brute force. Zamiast tego może wyglądać jak uprawniony użytkownik łączący się z uprawnionymi systemami.

Strategia wykrywania Pass the Hash organizacji MITRE zaleca korelowanie tworzenia sesji logowania, uwierzytelnień NTLM oraz podejrzanej aktywności procesów lub usług w celu identyfikacji możliwego użycia skradzionych skrótów haseł. Tego rodzaju korelacja jest ważna, ponieważ pojedyncze zdarzenie samo w sobie może nie wyglądać złośliwie.

Co dzieje się podczas ataku przejściowego?

W środowiskach hybrydowych pass-the-hash może stać się częścią szerszego pivotu tożsamościowego. Atakujący może zacząć od przejętego punktu końcowego w sieci firmowej, ponownie wykorzystać lokalny materiał uwierzytelniający do rozszerzenia dostępu, a następnie zaatakować infrastrukturę tożsamości łączącą usługi lokalne z zasobami chmurowymi.

Sama technika nadal opiera się na nadużyciu uwierzytelniania lokalnego i sieciowego, ale wpływ biznesowy może wykraczać daleko poza jedną stację roboczą. Gdy atakujący dotrą do usług synchronizacji, systemów zdalnego dostępu, uprzywilejowanych konsol lub infrastruktury zarządzania tożsamością, lokalne naruszenie może przerodzić się w znacznie szerszy incydent.

Najważniejszy wniosek

Pass the hash nie jest atakiem wykonywanym w jednym kroku. To technika stosowana po naruszeniu, która zamienia skradziony materiał uwierzytelniający w uwierzytelniony dostęp, ruch boczny i często także eskalację uprawnień.

Dlatego najskuteczniejsze mechanizmy obrony koncentrują się na ograniczaniu ekspozycji poświadczeń, zawężaniu uprawnień, utwardzaniu punktów końcowych i zmniejszaniu liczby miejsc, w których skradzionemu skrótowi hasła można nadal ufać.

Ataki pass-the-hash są najskuteczniejsze w środowiskach, w których atakujący mogą wykraść materiał uwierzytelniający z jednego systemu i ponownie użyć go w innym miejscu. To ryzyko jest największe w środowiskach systemu Windows, które nadal opierają się na protokole NTLM, zbyt szeroko udostępniają uprzywilejowane poświadczenia albo pozwalają, by ten sam lokalny sekret administratora istniał na wielu maszynach. Firma Microsoft nadal opisuje protokół NTLM jako obsługiwany protokół uwierzytelniania w systemie Windows, szczególnie w scenariuszach zgodności, mimo że w środowiskach domenowych preferowaną opcją jest protokół Kerberos.

Mapa myśli przedstawiająca środowiska i warunki organizacyjne najbardziej podatne na ataki pass-the-hash, w tym środowiska systemu Windows z ekspozycją protokołu NTLM, współdzielone lokalne poświadczenia administratora, konta uprzywilejowane używane do codziennej pracy, hybrydowe środowiska usługi Active Directory oraz słabe mechanizmy kontroli dostępu uprzywilejowanego. — *Typowe wzorce środowiskowe i wzorce dostępu, które zwiększają ekspozycję na ataki pass-the-hash.*

Środowiska Windows z ekspozycją NTLM

Klasyczny scenariusz pass-the-hash jest powiązany z uwierzytelnianiem systemu Windows. Jeśli protokół NTLM jest nadal aktywny na punktach końcowych, serwerach, w starszych aplikacjach albo ścieżkach zdalnej administracji, atakujący ma więcej okazji do ponownego użycia skradzionego materiału uwierzytelniającego zamiast potrzeby poznania prawdziwego hasła. Zarówno omówienie NTLM w systemie Windows Server, jak i omówienie uwierzytelniania systemu Windows firmy Microsoft jasno pokazują, że protokół NTLM nadal pozostaje częścią stosu uwierzytelniania, szczególnie tam, gdzie nadal istnieją wymagania zgodności.

To ma znaczenie, ponieważ obsługa starszych rozwiązań często trwa dłużej niż pierwotna potrzeba biznesowa. Nowoczesna organizacja może uważać, że odeszła już od starych wzorców uwierzytelniania, a mimo to nadal używać ich w usługach działających w tle, przepływach pracy zdalnego dostępu albo starszych aplikacjach.

Organizacje ze współdzielonymi lokalnymi poświadczeniami administratora

Współdzielone lokalne hasła administratora tworzą dobrze znany problem ruchu bocznego. Jeśli ten sam uprzywilejowany sekret jest ponownie używany na wielu urządzeniach, naruszenie jednej maszyny może znacznie ułatwić naruszenie kolejnych. Firma Microsoft przedstawia funkcję Windows LAPS jako mechanizm kontroli do zarządzania i rotacji unikalnych lokalnych haseł administratora właśnie dlatego, że ponowne użycie lokalnych kont administratora jest częstą słabością bezpieczeństwa. Agencja CISA również podkreśla, jak nieunikalne lokalne hasła administratora mogą ułatwiać ruch boczny w całej sieci.

W praktyce oznacza to, że organizacje z klonowanymi obrazami stacji roboczych, niezarządzanym rozrostem kont administratora albo słabą rotacją haseł są bardziej narażone, niż wynika to z dokumentacji. Ochrona lokalnej infrastruktury tożsamości przy użyciu MFA dla usługi Active Directory może pomóc ograniczyć skutki skradzionych poświadczeń w takich środowiskach, podczas gdy trwają szersze prace związane z utwardzaniem zabezpieczeń.

Zespoły używające kont uprzywilejowanych do codziennej pracy

Uprawnienia są jednym z największych wzmacniaczy skutków w każdym ataku pass-the-hash. Gdy administratorzy używają kont z podwyższonymi uprawnieniami do rutynowego przeglądania internetu, obsługi poczty e-mail albo logowań do stacji roboczych systemu Windows, zwiększają prawdopodobieństwo, że cenny materiał uwierzytelniający będzie obecny w niewłaściwym systemie. Wskazówki firmy Microsoft dotyczące wdrażania modeli administracyjnych opartych na zasadzie najmniejszych uprawnień ostrzegają, że złośliwe oprogramowanie uruchomione w uprzywilejowanej sesji może odziedziczyć ten poziom dostępu i rozszerzyć skalę szkód daleko poza jedno urządzenie.

Ta sama logika dotyczy kont usług, administratorów domeny i ról help desku z szerokimi uprawnieniami. Jeśli tożsamość o wysokich uprawnieniach zaloguje się do przejętego hosta, atakujący może uzyskać znacznie szybszą ścieżkę do ruchu bocznego i eskalacji uprawnień.

Hybrydowe środowiska Active Directory

Środowiska hybrydowe często wiążą się z większą złożonością tożsamości niż wdrożenia wyłącznie chmurowe. Lokalna usługa Active Directory, synchronizowane tożsamości, infrastruktura zdalnego pulpitu, usługi federacyjne i starsze aplikacje mogą zwiększać liczbę systemów, które ufają materiałowi uwierzytelniającemu nadającemu się do ponownego użycia. Wskazówki agencji CISA dotyczące wykrywania i ograniczania naruszeń usługi Active Directory podkreślają, że nadużycie tożsamości w usłudze Active Directory może umożliwić szerokie naruszenie w całym przedsiębiorstwie.

Nie oznacza to, że każde środowisko połączone z chmurą jest automatycznie podatne na klasyczny pass-the-hash w taki sam sposób. Oznacza to jednak, że organizacje z hybrydowymi ścieżkami tożsamości często mają większą powierzchnię ataku i więcej relacji zaufania, które trzeba zabezpieczyć. W środowiskach zdalnego dostępu MFA dla Remote Desktop może dodać dodatkową warstwę weryfikacji tam, gdzie skradzione poświadczenia są często najbardziej wartościowe.

Organizacje bez silnych mechanizmów kontroli dostępu uprzywilejowanego

Zasada najmniejszych uprawnień nie jest polem wyboru, lecz strukturalną ochroną przed nadużyciem poświadczeń. Wskazówki firmy Microsoft dotyczące dostępu o najmniejszych uprawnieniach i bezpieczeństwa dostępu uprzywilejowanego podkreślają ograniczanie zbędnych uprawnień, ochronę ścieżek dostępu o wysokim wpływie i zmniejszanie promienia rażenia naruszenia.

Środowisko staje się bardziej podatne, gdy ma:

Zbyt wiele stałych uprawnień administratora
Słabe rozdzielenie między kontami użytkowników a kontami administratorów
Szeroki dostęp ze zwykłych stacji roboczych do wrażliwych systemów
Ograniczone monitorowanie aktywności uprzywilejowanej

Choć te warunki same w sobie nie tworzą pass the hash, sprawiają, że jego konsekwencje są znacznie poważniejsze.

Czy organizacje wyłącznie chmurowe są zagrożone?

Organizacja wyłącznie chmurowa jest generalnie mniej narażona na klasyczne ataki pass-the-hash niż środowisko systemu Windows zbudowane wokół protokołu NTLM i lokalnego uwierzytelniania. Mimo to szersza lekcja pozostaje aktualna. Każde środowisko, które pozostawia artefakty uwierzytelniania nadające się do ponownego użycia na przejętych systemach, daje atakującym punkt zaczepienia, który mogą być w stanie rozszerzyć.

To jeden z powodów, dla których wiele organizacji przechodzi w kierunku silniejszych modeli logowania, które całkowicie zmniejszają zależność od haseł. Podejścia takie jak bezhasłowe MFA dla logowań Windows Hello mają na celu zmniejszenie wartości skradzionych poświadczeń opartych na haśle w codziennych przepływach dostępu.

Najważniejszy wniosek

Organizacje najbardziej podatne na ataki pass-the-hash zwykle nie są tymi, które mają jedną oczywistą słabość. To organizacje, w których nakłada się kilka warunków: zależność od NTLM, współdzielone poświadczenia administratora, nadmierne uprawnienia, słaba higiena punktów końcowych i infrastruktura tożsamości, która ufa zbyt wielu elementom przez zbyt długi czas.

W takich środowiskach skradziony skrót hasła nie jest tylko dowodem naruszenia. Często jest początkiem głębszego dostępu.

Jak wykrywać ataki pass-the-hash?

Wykrywanie pass-the-hash jest trudne, ponieważ atakujący używa prawidłowego materiału uwierzytelniającego. Oznacza to, że aktywność może na pierwszy rzut oka wyglądać legalnie, szczególnie w środowiskach, w których protokół NTLM jest nadal powszechny, a wzorce dostępu administracyjnego są głośne i niejednoznaczne. Organizacja MITRE zauważa w swojej strategii wykrywania Pass the Hash, że obrońcy powinni korelować tworzenie sesji logowania, uwierzytelnianie NTLM oraz podejrzaną aktywność procesów lub usług, zamiast polegać na pojedynczym zdarzeniu.

Diagram przedstawiający wykrywanie Pass-The-Hash w centrum oraz cztery obszary wykrywania rozchodzące się na zewnątrz: nietypowe uwierzytelnianie NTLM, logowania z nieoczekiwanych hostów, podejrzany dostęp do materiału uwierzytelniającego oraz nietypowa aktywność uprzywilejowana. — Kluczowe sygnały, które mogą pomóc wykryć aktywność pass-the-hash w obszarze uwierzytelniania, punktów końcowych i zachowań uprzywilejowanych.

Dlaczego pass-the-hash trudno zauważyć?

Skuteczny atak pass-the-hash często unika sygnałów, których zespoły bezpieczeństwa oczekują po atakach na hasła.

Może nie być:

oczywistej aktywności brute force
serii nieudanych logowań
zdarzenia resetu hasła
wyraźnego sygnału, że użytkownik w ogóle wpisał hasło

Zamiast tego atakujący może wyglądać jak rzeczywisty użytkownik łączący się z rzeczywistym systemem przy użyciu działających poświadczeń. Dlatego wykrywanie pass-the-hash zależy bardziej od kontekstu, sekwencji i korelacji niż od jednego odosobnionego alertu.

Najważniejsze sygnały wykrywania PtH

Silne wykrywanie zaczyna się od połączenia telemetrii tożsamości, punktów końcowych i uwierzytelniania.

Nieoczekiwane uwierzytelnianie NTLM

Jeśli użytkownik albo system normalnie uwierzytelnia się przy użyciu protokołu Kerberos, ale nagle przechodzi awaryjnie na protokół NTLM, taka zmiana zasługuje na uwagę. Wskazówki firmy Microsoft dotyczące podejrzanej aktywności związanej z kradzieżą tożsamości przy użyciu Pass-the-Hash podkreślają, że nietypowe użycie skrótu NTLM użytkownika z komputera, którego zwykle nie używa, jest istotnym wskaźnikiem naruszenia.

Logowania z niewłaściwego hosta

Skrót hasła skradziony z jednego punktu końcowego jest często ponownie używany na innym. Gdy konto zaczyna uwierzytelniać się z systemów, do których zwykle nie uzyskuje dostępu, szczególnie z systemów administracyjnych, taki wzorzec może sygnalizować ruch boczny zamiast normalnej pracy.

Podejrzany dostęp do materiału uwierzytelniającego

Pass-the-hash zwykle zaczyna się od dostępu do materiału uwierzytelniającego, dlatego wczesne sygnały często pojawiają się jeszcze przed rozpoczęciem ruchu bocznego. Działania takie jak interakcja z procesem LSASS, odczyt gałęzi SAM/SECURITY, uruchamianie narzędzi do zrzutu poświadczeń albo manipulowanie mechanizmami bezpieczeństwa mogą wskazywać, że atakujący przygotowuje się do wyodrębnienia skrótów haseł. Te zachowania należą do najważniejszych wczesnych ostrzeżeń przed potencjalnym atakiem PtH.

Aktywność uprzywilejowana, która nie pasuje do użytkownika

Zwykłe konto użytkownika uwierzytelniające się do serwerów, konsol zarządzania albo ścieżek zdalnej administracji może być sygnałem ostrzegawczym. Podobnie konto help desku albo konto usługi, które nagle uzyskuje dostęp do systemów poza swoim normalnym zakresem.

Co analizować w telemetrii Windows?

Natywne dzienniki systemu Windows mogą pomóc, ale stają się znacznie cenniejsze, gdy są korelowane między hostami.

Skup się na:

Udanych logowaniach sieciowych, które wyglądają nietypowo.
Użyciu konta na wielu systemach w krótkim czasie.
Zdarzeniach uwierzytelniania powiązanych z protokołem NTLM tam, gdzie oczekiwany byłby protokół Kerberos.
Tworzeniu procesów i aktywności usług wokół zdalnego wykonywania.
Zdarzeniach punktów końcowych sugerujących zrzut poświadczeń albo dostęp do chronionej pamięci.

Firma Microsoft zaleca również audytowanie użycia protokołu NTLM, aby obrońcy mogli zidentyfikować, gdzie protokół jest nadal aktywny i gdzie zachowanie awaryjne może tworzyć ekspozycję. Jej wskazówki dotyczące audytowania ruchu NTLM i identyfikowania aplikacji korzystających z NTLM są przydatne przy budowaniu widoczności miejsc, w których aktywność pass-the-hash może zlewać się z normalnymi operacjami.

Analityka behawioralna ma znaczenie

Wykrywanie pojedynczych zdarzeń rzadko jest wystarczające. Silniejsze podejście polega na szukaniu powiązanych anomalii w zachowaniu użytkownika, zachowaniu hosta i przepływie uwierzytelniania.

Dotyczy to sytuacji, w których:

Użytkownik loguje się z urządzenia, którego zwykle nie używa.
To samo konto dotyka kilku systemów w krótkim odstępie czasu.
Konto uprzywilejowane pojawia się na stacji roboczej, która nie powinna go obsługiwać.
Po nietypowej aktywności uwierzytelniania następuje zdalne wykonywanie.
Telemetria punktu końcowego i telemetria tożsamości wskazują na tę samą oś czasu.

Właśnie tutaj system EDR, korelacja SIEM i analityka świadoma tożsamości stają się znacznie cenniejsze niż samo przeglądanie dzienników. Jeśli Twoja organizacja zaostrza ochronę wokół zdalnych ścieżek uwierzytelniania, MFA dla RDP może pomóc zmniejszyć wartość skradzionych poświadczeń w jednym z miejsc, które atakujący często obierają za cel po początkowym naruszeniu.

Jak wygląda dojrzała strategia wykrywania?

Dojrzały program wykrywania pass-the-hash nie opiera się na jednej regule, która uruchamia się w każdym przypadku. Łączy kilka warstw:

Monitorowanie tożsamości – Śledzenie, kto się uwierzytelnia, skąd, do jakich systemów i przy użyciu jakiego protokołu.
Monitorowanie punktów końcowych – Obserwowanie oznak kradzieży poświadczeń, podejrzanego dostępu do procesów, narzędzi zdalnego wykonywania i nietypowego tworzenia usług.
Monitorowanie dostępu uprzywilejowanego – Zwracanie szczególnej uwagi na konta o wysokiej wartości, szczególnie administratorów domeny, administratorów serwerów i konta usług o szerokim zasięgu.
Odchylenie od linii bazowej – Mierzenie tego, co normalne dla użytkowników, punktów końcowych i aktywności administracyjnej, aby podejrzane zmiany szybciej się wyróżniały.

Wieloinstytucjonalne wskazówki zawarte w dokumencie Detecting and Mitigating Active Directory Compromises wzmacniają to szersze spojrzenie. Naruszenie usługi Active Directory rzadko jest pojedynczym zdarzeniem. Zwykle jest to łańcuch nadużyć poświadczeń, eskalacji uprawnień i ruchu bocznego, który trzeba wykrywać w wielu systemach.

Typowe błędy wykrywania

Programy wykrywania często przeoczają pass-the-hash, ponieważ zbyt wąsko koncentrują się na niewłaściwych sygnałach.

Typowe błędy obejmują:

Traktowanie wszystkich udanych logowań jako mało ryzykownych.
Ignorowanie protokołu NTLM, ponieważ nadal jest uznawany za normalny w starszych środowiskach.
Monitorowanie kont uprzywilejowanych bez monitorowania miejsc, w których się logują.
Poleganie wyłącznie na alertach programu antywirusowego.
Badanie odosobnionych zdarzeń bez budowania osi czasu między hostami.

Te luki ułatwiają atakowi przejściowemu rozwinięcie się z jednej przejętej maszyny w szerszy incydent dotyczący tożsamości.

Najważniejszy wniosek

Najlepszym sposobem wykrycia ataku pass-the-hash jest łączenie faktów między nietypowym uwierzytelnianiem, podejrzaną aktywnością hosta i nietypowym zachowaniem konta. Każdy z tych sygnałów z osobna może wyglądać nieszkodliwie. Razem mogą ujawnić technikę kradzieży poświadczeń, która już przemieszcza się głębiej w środowisku.

Jak reagować na ataki pass-the-hash?

Incydent pass-the-hash powinien być obsługiwany jako aktywne naruszenie poświadczeń, a nie tylko jako odosobniona infekcja punktu końcowego. Jeśli atakujący już ponownie wykorzystuje skradziony materiał uwierzytelniający, priorytetem jest zatrzymanie dalszego ruchu, ochrona uprzywilejowanych tożsamości i zapobieżenie rozprzestrzenieniu się incydentu na usługi katalogowe, systemy zdalnego dostępu i krytyczne serwery. Podręczniki reagowania na incydenty cyberbezpieczeństwa i podatności agencji CISA ujmują reakcję wokół identyfikacji, koordynacji, powstrzymania, usunięcia zagrożenia i odtworzenia, co szczególnie dobrze pasuje do tego typu ataku opartego na tożsamości.

Najpierw powstrzymaj atak

Pierwszym celem jest spowolnienie albo zatrzymanie ruchu bocznego przez izolowanie przejętych hostów, ograniczanie zainfekowanych kont i redukowanie zdolności atakującego do uwierzytelniania się w innych miejscach. Jeśli włamanie dotyczy uprzywilejowanych poświadczeń, czas ma jeszcze większe znaczenie, ponieważ skradziony skrót administratora może szybko zwiększyć promień rażenia. Firma Microsoft opisuje automatyczne powstrzymywanie w funkcji Microsoft Defender XDR automatic attack disruption, która ma na celu ograniczanie ataków w toku i zmniejszanie ich wpływu, podczas gdy zespoły bezpieczeństwa kończą działania naprawcze.

Izoluj systemy objęte wpływem

Usuń przejęte punkty końcowe i serwery z normalnej komunikacji sieciowej tak wcześnie, jak to możliwe. Jeśli atakujący nadal może docierać do innych hostów, incydent nadal się rozwija. Decyzje o izolacji powinny koncentrować się na systemach powiązanych z podejrzanym uwierzytelnianiem, nietypową aktywnością administracyjną i możliwą kradzieżą poświadczeń. Niedawne wnioski agencji CISA z zaangażowania w reagowanie na incydent również podkreślają szybkie powstrzymywanie, scentralizowane logowanie i przećwiczone procedury reagowania w celu ograniczenia eskalacji podczas aktywnych włamań.

Ogranicz albo wyłącz przejęte konta

Jeśli masz wystarczającą pewność, że konto zostało nadużyte, ogranicz je natychmiast. Może to oznaczać wyłączenie konta, wymuszenie resetu hasła, usunięcie sesji albo tymczasowe zablokowanie dostępu do wrażliwych systemów. Firma Microsoft dokumentuje te działania w działaniach naprawczych usługi Defender for Identity, w tym wyłączanie kont i resetowanie haseł przejętych użytkowników.

Zbadaj pełny zakres

Dobra reakcja oznacza zrozumienie nie tylko tego, które konto zostało nadużyte, ale także gdzie atakujący zaczął, których systemów dotknął i czy po drodze zostały ujawnione poświadczenia o wyższej wartości. W przypadkach pass-the-hash widoczne zdarzenie uwierzytelniania jest często tylko jedną częścią znacznie większej sekwencji. Podręczniki reagowania na incydenty firmy Microsoft podkreślają budowanie przepływu pracy, który łączy triage alertów, kroki dochodzeniowe, wymagania wstępne i działania powstrzymujące, zamiast traktować sygnały w izolacji.

Zbuduj oś czasu

Utwórz oś czasu, która połączy prawdopodobne początkowe naruszenie, dostęp do hosta, podejrzane logowania, zdalne wykonywanie i aktywność uprzywilejowaną. Skoncentruj się na tym, kiedy wystąpiło pierwsze podejrzane uwierzytelnienie, z którego hosta pochodziło oraz czy to samo konto albo konta powiązane pojawiły się wkrótce potem na innych maszynach. Pomaga to ustalić, czy incydent ogranicza się do jednego punktu końcowego, czy też przekroczył już granicę szerszej infrastruktury tożsamości.

Zidentyfikuj wszystkie poświadczenia objęte wpływem

Nie poprzestawaj na pierwszym widocznym koncie. Przeanalizuj standardowe konta użytkowników, konta administratorów, konta usług i każdy materiał uwierzytelniający, który mógł zostać ujawniony na przejętych hostach. Wskazówki firmy Microsoft dotyczące zabezpieczania kont dostępu uprzywilejowanego podkreślają silną ochronę kont i kontrolę ich cyklu życia, ponieważ atakujący podszywający się pod uprzywilejowane tożsamości mogą przejąć znacznie więcej niż jedną maszynę.

Usuń przyczynę źródłową

Podczas gdy powstrzymywanie daje czas, usunięcie zagrożenia eliminuje warunki, które umożliwiły atak w pierwszej kolejności. Jeśli atakujący uzyskał dostęp przez złośliwe oprogramowanie, podatną ścieżkę zdalnego dostępu albo już przejętą sesję administratora, ten problem musi zostać naprawiony, zanim wznowione zostaną normalne operacje. W przeciwnym razie ten sam przeciwnik może wrócić, korzystając z tego samego punktu zaczepienia. Podręczniki agencji CISA umieszczają usunięcie zagrożenia przed pełnym odtworzeniem właśnie z tego powodu.

Resetuj poświadczenia we właściwej kolejności

Resety haseł powinny być przemyślane, szczególnie gdy w grę wchodzą konta uprzywilejowane i konta usług. Jeśli atakujący nadal ma dostęp do kluczowych systemów, zbyt wczesne resetowanie kont może wywołać chaos bez realnego usunięcia zagrożenia. Zacznij od kont, które najprawdopodobniej zostaną ponownie nadużyte, a następnie rozszerz działania na resztę ujawnionego łańcucha tożsamości. Tam, gdzie w grę wchodzi dostęp administracyjny, silniejsze zabezpieczenia logowania, takie jak MFA dla zdalnego dostępu, mogą zmniejszyć prawdopodobieństwo, że skradzione poświadczenie natychmiast zamieni się w kolejny punkt zaczepienia.

Odbuduj albo napraw przejęte systemy

Jeśli host wykazuje oznaki kradzieży poświadczeń, zdalnego wykonywania albo głębokiego naruszenia, nie zakładaj, że proste czyszczenie wystarczy. W razie potrzeby wykonaj ponowne obrazowanie albo odbudowę, zweryfikuj narzędzia bezpieczeństwa i potwierdź, że atakujący nie ma już mechanizmów utrzymania dostępu. Wskazówki bezpieczeństwa systemu Windows firmy Microsoft wskazują w swoim zaawansowanym omówieniu ochrony poświadczeń, że mechanizmy takie jak funkcja Credential Guard pomagają chronić sekrety przed kradzieżą, w tym przed atakami pass the hash i pass the ticket.

Odtwarzaj środowisko przy większym monitorowaniu niż zwykle

Odtwarzanie nie zaczyna się wtedy, gdy pierwszy zainfekowany host zostanie oczyszczony. Zaczyna się wtedy, gdy możesz zweryfikować, że skradziony materiał uwierzytelniający nie jest już ponownie używany i że wrażliwe konta nie pozostają aktywne w podejrzany sposób. Przez pewien czas po naprawie zwiększ widoczność zdarzeń uwierzytelniania, aktywności administracyjnej, zachowań punktów końcowych i prób dotarcia do krytycznych systemów. Omówienie alertów bezpieczeństwa usługi Defender for Identity firmy Microsoft podkreśla, jak alerty tożsamości mogą pomagać analitykom śledzić podejrzane aktywności, zaangażowanych użytkowników i dotknięte komputery podczas trwającego dochodzenia i naprawy.

Obserwuj kolejne nadużycia tożsamości

Po incydencie pass-the-hash atakujący mogą przejść do innych technik tożsamościowych zamiast powtarzać ten sam ruch. Może to obejmować nadużycie kont uprzywilejowanych, kradzież biletów, utrzymywanie dostępu przez zmiany katalogowe albo podejrzane próby logowania do nowo wartościowych systemów. Wpis narzędzia Eviction Strategies Tool agencji CISA dotyczący podejrzanych prób logowania zaleca zaostrzenie ochrony wokół prawdopodobnych celów, dostrojenie narzędzi wykrywania i stosowanie silniejszych zabezpieczeń dla użytkowników i urządzeń, które mogą być nadal celem.

Najważniejszy wniosek

Najlepszą reakcją na atak pass-the-hash jest szybkie powstrzymanie, ostrożna kontrola poświadczeń, dochodzenie obejmujące pełny zakres i zdyscyplinowane odtworzenie. Jeśli atakujący już zamienił skradzione skróty haseł w prawidłowy dostęp, każde opóźnienie daje mu więcej czasu na ruch, eskalację i ukrycie się. Silna reakcja traktuje incydent jednocześnie jako naruszenie punktu końcowego i naruszenie tożsamości, ponieważ w praktyce niemal zawsze jest jednym i drugim.

Strategie zapobiegania i ograniczania pass-the-hash

Najlepszą obroną przed atakami pass-the-hash nie jest pojedynczy produkt ani pojedyncze ustawienie. Najlepszą ochronę daje warstwowy model bezpieczeństwa, który ogranicza ekspozycję poświadczeń, zawęża zasięg uprawnień administracyjnych i sprawia, że skradziony materiał uwierzytelniający jest znacznie mniej użyteczny. W środowiskach systemu Windows zaczyna się to od utwardzenia systemów, w których znajdują się poświadczenia, oraz zmniejszenia liczby miejsc, w których sekrety nadające się do ponownego użycia mogą zostać nadużyte.

Diagram przedstawiający warstwowe mechanizmy obrony przed atakami Pass-the-Hash, w tym ograniczanie NTLM, ochronę poświadczeń, ograniczenia dostępu uprzywilejowanego, bezpieczną zdalną administrację i wczesne wykrywanie ruchu bocznego. — Warstwy obrony przed atakami Pass-the-Hash: wizualne podsumowanie kluczowych obszarów ograniczania ryzyka, od ograniczania ekspozycji NTLM po wczesne wykrywanie ruchu bocznego.

Ogranicz ekspozycję poświadczeń na punktach końcowych

Jeśli atakujący nie mogą wyodrębnić użytecznego materiału uwierzytelniającego, pass-the-hash staje się znacznie trudniejsze do przeprowadzenia.

Włącz Credential Guard

Firma Microsoft zaleca konfigurację funkcji Credential Guard, aby izolować sekrety przy użyciu zabezpieczeń opartych na wirtualizacji i ograniczać ekspozycję na kradzież poświadczeń. To jeden z najważniejszych technicznych mechanizmów kontroli ograniczających ataki zależne od skradzionych skrótów haseł.

Dodaj ochronę dla LSA

Proces Local Security Authority jest celem o wysokiej wartości, ponieważ obsługuje sekrety uwierzytelniania. Wskazówki firmy Microsoft dotyczące konfigurowania dodatkowej ochrony LSA pomagają blokować wstrzykiwanie kodu i inne nadużycia, które mogą ujawniać poświadczenia na przejętych hostach.

Wyjdź poza jedno ustawienie

Funkcja Credential Guard jest potężna, ale sama w sobie nie stanowi pełnej odpowiedzi. Dodatkowe ograniczenia ryzyka dla Credential Guard firmy Microsoft jasno pokazują, że atakujący nadal mogą nadużywać uprawnień, narzędzi zarządzania albo wcześniej skradzionych poświadczeń, jeśli reszta środowiska pozostaje słaba.

Ogranicz wartość poświadczeń administracyjnych

Pass-the-hash staje się znacznie bardziej niebezpieczne, gdy uprzywilejowane tożsamości są szeroko używane na stacjach roboczych i serwerach.

Oddziel konta administracyjne od codziennych kont użytkowników

Administratorzy nie powinni używać tożsamości o wysokich uprawnieniach do obsługi poczty e-mail, przeglądania sieci ani rutynowej pracy na punktach końcowych. Wskazówki firmy Microsoft dotyczące kont chronionych opierają się na tej zasadzie i obejmują mechanizmy kontroli pomagające ograniczać ekspozycję uprzywilejowanych poświadczeń.

Zabezpiecz lokalne konta administratora

Lokalne konta administratora nadal mogą stać się istotną ścieżką ruchu bocznego, jeśli są szeroko włączone albo źle zarządzane. Wskazówki firmy Microsoft dotyczące zabezpieczania lokalnych kont i grup administratora wyjaśniają, dlaczego te konta wymagają starannej kontroli w środowiskach, w których ataki pass-the-hash budzą obawy.

Używaj unikalnych lokalnych haseł administratora

Współdzielone lokalne hasło administratora zamienia jedno przejęte urządzenie w punkt startowy do ataku na wiele innych. Unikalne lokalne poświadczenia administratora ograniczają tę reakcję łańcuchową. Dla organizacji unowocześniających dostęp do stacji roboczych uwierzytelnianie Windows MFA może wzmocnić logowania na poziomie punktu końcowego, gdzie nadużycie poświadczeń często się zaczyna.

Zmniejsz zależność od haseł wielokrotnego użytku

Im bardziej środowisko zależy od haseł wielokrotnego użytku, tym bardziej atrakcyjne pozostają skradzione skróty haseł.

Przechodź do silniejszych metod uwierzytelniania

Firma Microsoft zauważa w swoich uwagach dotyczących Credential Guard, że organizacje powinny odchodzić od haseł tam, gdzie to możliwe, i wdrażać silniejsze metody uwierzytelniania, takie jak funkcja Windows Hello for Business, karty inteligentne albo klucze bezpieczeństwa standardu FIDO2.

Wzmocnij dostęp do systemów krytycznych

Systemy o wysokiej wartości nie powinny polegać wyłącznie na dostępie opartym na haśle, szczególnie w przypadku administratorów i użytkowników zdalnego dostępu. Silniejsze składniki uwierzytelniania mogą znacznie utrudnić atakującym zamianę skradzionego poświadczenia w pełny dostęp. To jeden z powodów, dla których wiele organizacji wdraża klucze bezpieczeństwa standardu FIDO2 dla kont wymagających większej odporności na phishing i silniejszego potwierdzenia tożsamości.

Utwardź ścieżki zdalnej administracji

Zdalna administracja jest często miejscem, w którym kradzież poświadczeń zamienia się w ruch boczny.

Używaj ochrony zdalnych poświadczeń

Funkcja Remote Credential Guard firmy Microsoft pomaga ograniczyć potrzebę ujawniania poświadczeń wielokrotnego użytku zdalnym hostom. Ma to znaczenie w środowiskach, w których administratorzy łączą się z wrażliwymi systemami ze zwykłych stacji roboczych albo hostów pośredniczących.

Rozważ Restricted Admin w scenariuszach RDP

Firma Microsoft opisuje również tryb Restricted Admin jako sposób łączenia się z systemami zdalnymi bez przesyłania poświadczeń wielokrotnego użytku do hosta docelowego. Jest to szczególnie istotne dla uprzywilejowanych przepływów zdalnego dostępu, w których przejęty serwer mógłby w przeciwnym razie pozyskać sekrety administratora.

Ogranicz możliwości ruchu bocznego

Pass the hash jest skuteczne, ponieważ pomaga atakującym się przemieszczać. Każdy mechanizm kontroli, który ogranicza ruch, zmniejsza szkody, jakie mogą wyrządzić skradzione skróty haseł.

Segmentuj dostęp administracyjny

Systemy administracyjne, serwery i infrastruktura tożsamości nie powinny być osiągalne z każdej stacji roboczej. Ograniczanie ścieżek między urządzeniami użytkowników a zasobami o wysokiej wartości zmniejsza liczbę miejsc, w których skradziony skrót hasła może zostać skutecznie ponownie użyty.

Ogranicz stałe uprawnienia

Im mniej kont z szerokimi uprawnieniami, tym mniej celów o dużym wpływie ma atakujący. Ograniczanie stałych uprawnień zmniejsza również prawdopodobieństwo, że silne poświadczenia będą przez długi czas obecne na przejętych urządzeniach.

Przeglądaj relacje zaufania i zależności od starszych rozwiązań

Stare aplikacje, starsze protokoły i wyjątki zgodności często utrzymują protokół NTLM przy życiu dłużej, niż można się spodziewać. Usuwanie tych zależności zamyka ścieżki uwierzytelniania, które atakujący nadal wykorzystują.

Wspieraj zapobieganie silniejszymi mechanizmami operacyjnymi

Mechanizmy techniczne są najskuteczniejsze wtedy, gdy wspiera je zdyscyplinowane bezpieczeństwo operacyjne.

Monitoruj wczesne oznaki nadużycia poświadczeń

Zapobieganie nie polega wyłącznie na zablokowaniu pierwszej kradzieży. Chodzi również o zauważanie, kiedy wrażliwe konta pojawiają się w niewłaściwych systemach, kiedy sesje uprzywilejowane stają się zbyt częste albo kiedy zachowanie zdalnej administracji zmienia się w podejrzany sposób.

Ćwicz reakcję przed incydentem

Wskazówki agencji CISA dotyczące odświeżania uwierzytelniaczy po aktywności Pass the Hash podkreślają znaczenie planowania, właściwego sekwencjonowania i upewnienia się, że atakujący nie może po prostu ponownie ukraść świeżych poświadczeń. Dobre zapobieganie obejmuje przygotowanie do szybkiego powstrzymania i odtworzenia.

Uzgodnij mechanizmy kontroli między zespołami tożsamości i punktów końcowych

Ograniczanie pass-the-hash znajduje się na styku bezpieczeństwa tożsamości, ochrony punktów końcowych i projektowania administracyjnego. Gdy te zespoły pracują w izolacji, luki pozostają. Gdy działają spójnie, atakującym znacznie trudniej jest kraść, ponownie wykorzystywać i rozszerzać dostęp przy użyciu materiału uwierzytelniającego.

Jak wygląda najlepsza obrona w praktyce

Najlepsza obrona przed atakami pass-the-hash łączy jednocześnie kilka mechanizmów kontroli:

Chronione poświadczenia na punktach końcowych.
Ściśle kontrolowane konta uprzywilejowane.
Unikalne lokalne hasła administratora.
Bezpieczniejsza zdalna administracja.
Zmniejszona zależność od haseł.
Ograniczone ścieżki ruchu bocznego.
Szybkie wykrywanie nietypowej aktywności uwierzytelniania.

Organizacje, które chcą uzyskać silniejszą kontrolę dostępu dla użytkowników zdalnych, administratorów i aplikacji wewnętrznych, często łączą te zmiany z usprawnieniami w obszarze zarządzania tożsamością i dostępem, tak aby uwierzytelnianie, uprawnienia i zabezpieczenia punktów końcowych działały razem, a nie jako odrębne projekty.

Najważniejszy wniosek

Ograniczanie ryzyka pass-the-hash ostatecznie sprowadza się do zmniejszenia zaufania do sekretów wielokrotnego użytku. Jeśli poświadczenia są dobrze chronione, uprawnienia mają ściśle określony zakres, a ścieżki zdalnego dostępu są utwardzone, skradzione skróty haseł stają się znacznie mniej użyteczne. To jest prawdziwy cel zapobiegania: nie tylko utrudnić kradzież, ale też sprawić, by ponowne użycie zakończyło się niepowodzeniem nawet po naruszeniu.

Pass-the-hash a powiązane ataki na tożsamość

Technika pass the hash jest często grupowana z innymi technikami nadużycia poświadczeń, ponieważ wszystkie pomagają atakującym podszywać się pod uprawnionych użytkowników po początkowym naruszeniu. Różnice mają znaczenie. Każda technika opiera się na innym rodzaju artefaktu uwierzytelniania, a każda z nich kieruje obrońców w stronę nieco innego zestawu mechanizmów kontroli.

Atak	Co jest kradzione lub ponownie używane	Typowy kontekst	Główne ryzyko
Pass-The-Hash	Skrót hasła lub równoważny materiał uwierzytelniający	Środowiska Windows, w których nadal obecny jest NTLM	Ruch boczny bez znajomości hasła w postaci jawnego tekstu
Pass-The-Ticket	Bilet Kerberos	Środowiska Active Directory korzystające z protokołu Kerberos	Podszywanie się i ruch boczny przy użyciu skradzionych biletów
Credential Stuffing	Skradzione nazwy użytkowników i hasła w postaci jawnego tekstu	Aplikacje wystawione do internetu i poświadczenia ponownie używane między usługami	Przejęcie kont w wielu systemach
Password Spraying	Popularne hasła testowane wobec wielu kont	Zewnętrzne portale logowania, sieci VPN, usługa Microsoft 365, aplikacje webowe	Ciche zgadywanie haseł pozwalające uniknąć blokad
Replay Attack	Przechwycone dane uwierzytelniania lub materiał sesyjny	Każde środowisko podatne na wielokrotne ponowne użycie uwierzytelniania	Nieautoryzowany dostęp przez ponowne przesłanie prawidłowych danych

Pass-the-hash a pass-the-ticket

Atak pass-the-hash opiera się na skradzionym skrócie hasła w środowiskach, w których protokół NTLM nadal jest częścią ścieżki uwierzytelniania. Z kolei atak pass-the-ticket opiera się na skradzionym bilecie Kerberos. Wpis Pass the Ticket w bazie MITRE opisuje go jako inną formę użycia alternatywnego materiału uwierzytelniającego do ruchu bocznego.

Firma Microsoft wyjaśnia w swoim omówieniu uwierzytelniania Kerberos, że protokół Kerberos używa biletów do obsługi uwierzytelniania w środowiskach domenowych. To jeden z powodów, dla których pass the ticket i pass the hash są ze sobą powiązane, ale nie są zamienne. Jedna technika nadużywa materiału uwierzytelniającego powiązanego z protokołem NTLM. Druga nadużywa biletów wydanych przez protokół Kerberos.

W ujęciu praktycznym:

Pass-the-hash jest najsilniej powiązane z ponownym użyciem poświadczeń NTLM.
Pass-the-ticket jest powiązane ze skradzionymi biletami Kerberos.
Obie techniki mogą wspierać ruch boczny.
Obie stają się bardziej niebezpieczne, gdy ujawnione są tożsamości uprzywilejowane.

Pass-the-hash a ataki replay

W porównaniu z pass-the-hash atak replay jest pojęciem szerszym. Instytut NIST definiuje atak replay jako przechwycenie informacji o uwierzytelnianiu lub kontroli dostępu, a następnie ich ponowne przesłanie w celu uzyskania nieautoryzowanego dostępu albo wywołania nieautoryzowanego skutku.

Pass-the-hash dzieli część tej logiki, ponieważ atakujący ponownie używa prawidłowego materiału uwierzytelniającego zamiast udowadniać tożsamość od zera. Mimo to pass-the-hash jest bardziej specyficzne. Zamiast ogólnego odtworzenia danych poświadczeń pass-the-hash polega na użyciu skradzionego materiału opartego na skrócie hasła do uwierzytelnienia się jako rzeczywisty użytkownik wewnątrz środowiska, które nadal mu ufa.

To rozróżnienie ma znaczenie dla obrony. Zapobieganie ogólnym atakom replay może obejmować ochronę sesji, obsługę nonce i zabezpieczenia protokołów. Zapobieganie pass-the-hash wymaga silniejszej ochrony poświadczeń, zmniejszenia ekspozycji NTLM i ściślejszego bezpieczeństwa punktów końcowych.

Pass-the-hash a credential stuffing

Atak credential stuffing zależy od skradzionych nazw użytkowników i haseł w postaci jawnego tekstu, zwykle pozyskanych z wcześniejszych naruszeń i testowanych w innych usługach. Pass-the-hash różni się tym, że atakujący może nigdy nie poznać prawdziwego hasła.

To ważna granica między zewnętrznym nadużyciem kont a wewnętrznym nadużyciem tożsamości. Atak credential stuffing jest często wymierzony w aplikacje wystawione do internetu. Z kolei pass-the-hash jest zwykle częścią ruchu po naruszeniu wewnątrz sieci przedsiębiorstwa.

Pass-the-hash a password spraying

Technika password spraying jest techniką zgadywania. Atakujący testuje niewielką liczbę popularnych haseł wobec wielu kont, aby uniknąć blokad i wykrycia.

Pass the hash nie polega na zgadywaniu. To ponowne użycie już skradzionego materiału uwierzytelniającego. To sprawia, że po uzyskaniu punktu zaczepienia jest cichsze i bardziej niebezpieczne, szczególnie gdy skradziony materiał należy do administratora albo konta usługi.

Pass-the-hash a atak przejściowy

Atak przejściowy opisuje szerszy pivot między środowiskami zaufania. Pass-the-hash jest jedną z technik nadużycia poświadczeń, która może pomóc atakującemu wykonać taki pivot po początkowym naruszeniu.

Nie oznacza to jednak, że każdy atak przejściowy jest atakiem pass-the-hash. Oznacza raczej, że pass-the-hash może być jedną z technik, które pomagają atakującemu przejść od lokalnego naruszenia do szerszej kontroli nad tożsamością.

Organizacje próbujące ograniczyć tego rodzaju pivot często wzmacniają uwierzytelnianie w punktach, w których zaufanie zmienia się między urządzeniami, sesjami zdalnymi i aplikacjami. Obsługa FIDO2 passkeys może pomóc zmniejszyć zależność od logowań opartych na haśle w miejscach, w których kradzież poświadczeń tradycyjnie miała zbyt dużą wartość.

Dlaczego te rozróżnienia mają znaczenie

Łatwo jest traktować wszystkie ataki na poświadczenia jako odmiany tego samego problemu. W rzeczywistości artefakt, który jest nadużywany, mówi bardzo wiele o środowisku i o właściwej reakcji.

Jeśli atakujący ponownie używają skrótów haseł, skup się na:

ekspozycji NTLM
ochronie poświadczeń na punktach końcowych
higienie kont uprzywilejowanych
mechanizmach kontroli ruchu bocznego

Jeśli atakujący ponownie używają biletów Kerberos, skup się mocniej na:

widoczności kradzieży biletów
ścieżkach zaufania domenowego
higienie logowań uprzywilejowanych
monitorowaniu specyficznym dla Kerberos

Jeśli atakujący zgadują albo odtwarzają poświadczenia spoza środowiska, priorytety obronne znowu się zmieniają.

Właśnie dlatego silne bezpieczeństwo tożsamości zależy od czegoś więcej niż jednego mechanizmu kontroli. Organizacje, które przechodzą w kierunku rejestracji passkey do MFA i innych odpornych na phishing metod MFA, ograniczają jeden z podstawowych problemów stojących za wieloma atakami na tożsamość: zbyt duże zaufanie do sekretów wielokrotnego użytku.

Najważniejszy wniosek

Pass the hash jest częścią większej rodziny ataków na tożsamość, ale ma własną mechanikę i własny profil ryzyka. Najsilniej wiąże się ze skradzionymi skrótami haseł, ekspozycją NTLM i ruchem po naruszeniu wewnątrz środowisk Windows.

Zrozumienie różnicy między pass the hash, pass the ticket, atakami replay i nadużyciem opartym na haśle ułatwia wybór właściwych mechanizmów kontroli, dokładniejsze badanie incydentów i zamykanie konkretnych luk wykorzystywanych przez atakujących.

Dlaczego pass-the-hash nadal ma znaczenie we współczesnym cyberbezpieczeństwie

Pass-the-hash bywa czasem opisywany jako stary atak, ale takie ujęcie pomija rzeczywisty problem. Ta technika pozostaje aktualna, ponieważ wiele organizacji nadal ma te same warunki, które czynią ją skuteczną: poświadczenia wielokrotnego użytku, konta uprzywilejowane na punktach końcowych ogólnego przeznaczenia, starsze ścieżki uwierzytelniania i szerokie zaufanie wewnętrzne. Firma Microsoft podkreśla to w swoich wskazówkach dotyczących opracowywania strategii dostępu uprzywilejowanego, które łączą wzrost nowoczesnej kradzieży poświadczeń z atakami takimi jak pass-the-hash i wyjaśniają, dlaczego dostęp uprzywilejowany pozostaje głównym celem.

To nie jest tylko problem starszych środowisk

Podstawowa idea stojąca za pass-the-hash jest prosta. Jeśli atakujący może wykraść materiał uwierzytelniający, któremu system nadal ufa, może być w stanie się przemieszczać bez poznania oryginalnego hasła.

Ten problem nie ogranicza się do jednego narzędzia, jednej wersji systemu operacyjnego ani jednej głośnej techniki. Odzwierciedla szerszą słabość tożsamości. Gdy silne poświadczenia są ujawniane na zwykłych stacjach roboczych, gdy starsze protokoły pozostają włączone ze względu na zgodność albo gdy dostęp administracyjny można zbyt łatwo ponownie wykorzystać, środowisko nadal pozostaje podatne.

Firma Microsoft podkreśla w swoim omówieniu zabezpieczania dostępu uprzywilejowanego, że konta uprzywilejowane i uprzywilejowane stacje robocze są szczególnie atrakcyjne, ponieważ mogą dać atakującym szybki i szeroki dostęp do zasobów biznesowych. Właśnie dlatego pass-the-hash nadal ma znaczenie. Zamienia jedno zdarzenie ekspozycji poświadczeń w ścieżkę prowadzącą do większego naruszenia.

Dlaczego atakujący nadal na tym korzystają

Atakujący cenią pass-the-hash z tego samego powodu, z którego obrońcy mają z nim trudność. Jest wydajne.

Skuteczny atak pass-the-hash może pozwolić intruzowi:

obejść konieczność złamania hasła
uwierzytelnić się materiałem, któremu środowisko już ufa
poruszać się cicho między systemami
eskalować z jednego przejętego punktu końcowego do infrastruktury o wyższej wartości

To sprawia, że jest szczególnie użyteczne w rzeczywistych włamaniach, w których czas, skrytość i uprawnienia mają większe znaczenie niż nowość techniki.

Dlaczego nowoczesna strategia tożsamości musi to uwzględniać

Silny program tożsamości nie dotyczy już wyłącznie złożoności haseł albo podstawowych kontroli logowania. Musi uwzględniać kradzież poświadczeń po naruszeniu, a nie tylko zgadywanie poświadczeń przed naruszeniem.

Aktualne Wytyczne dotyczące tożsamości cyfrowej instytutu NIST oraz wskazówki dotyczące uwierzytelniania i zarządzania uwierzytelniaczami kierują organizacje ku silniejszemu, odpornemu na phishing uwierzytelnianiu, ponieważ sekrety wielokrotnego użytku nadal stanowią trwałe ryzyko. Te wskazówki nie koncentrują się wyłącznie na ataku pass-the-hash, ale odnoszą się bezpośrednio do tego samego podstawowego problemu: jeśli atakujący może wykraść i odtworzyć to, co potwierdza tożsamość, organizacja potrzebuje silniejszych mechanizmów kontroli niż same hasła.

Jaka jest rzeczywista lekcja dla obrońców

Nie chodzi tylko o to, że pass-the-hash jest niebezpieczny. Prawdziwa lekcja polega na tym, że zaufanie do tożsamości musi być zawężane i chronione.

W praktyce oznacza to:

utrzymywanie kont uprzywilejowanych poza standardowymi punktami końcowymi
ograniczanie zależności od poświadczeń opartych na hasłach wielokrotnego użytku
ochronę materiału uwierzytelniającego na hostach, na których logują się administratorzy
ograniczanie miejsc, w których konta o wysokim wpływie mogą się uwierzytelniać
zaostrzanie mechanizmów kontroli wokół zdalnego dostępu i administracyjnych przepływów pracy

Organizacje przechodzące w kierunku uwierzytelniania bezhasłowego rozwiązują ten problem u źródła przez zmniejszanie wartości sekretów, które można wykraść i ponownie wykorzystać.

Dlaczego ma to znaczenie w środowiskach hybrydowych

Ryzyko jest często największe w środowiskach znajdujących się pomiędzy starszymi i nowszymi modelami tożsamości. Środowiska hybrydowe zwykle niosą więcej wyjątków, więcej relacji zaufania i większą złożoność administracyjną. Jeden przejęty punkt końcowy może stać się mostem do serwerów plików, infrastruktury zarządzającej, usług katalogowych albo systemów zdalnego dostępu, jeśli ujawniony zostanie niewłaściwy materiał uwierzytelniający.

Właśnie dlatego pass-the-hash pozostaje poważnym problemem cyberbezpieczeństwa nawet wtedy, gdy stosy tożsamości ewoluują. Ta technika przetrwa wszędzie tam, gdzie przetrwa zaufanie do sekretów wielokrotnego użytku.

Najważniejszy wniosek

Pass-the-hash nadal ma znaczenie, ponieważ ujawnia strukturalną słabość, a nie tylko starszą taktykę. Jeśli atakujący może wykraść materiał uwierzytelniający, któremu środowisko nadal ufa, jeden przejęty system może szybko przekształcić się w znacznie większy incydent.

Najsilniejszą długoterminową obroną jest nie tylko lepsze wykrywanie, ale także architektura tożsamości, która ujawnia mniej sekretów wielokrotnego użytku, agresywniej chroni dostęp uprzywilejowany i znacznie utrudnia ruch boczny po pierwszym naruszeniu.

Często zadawane pytania o pass-the-hash

Co to jest pass-the-hash w prostych słowach?

Pass the hash to sposób, w jaki atakujący loguje się przy użyciu skradzionego materiału uwierzytelniającego zamiast prawdziwego hasła. Atakujący nie musi najpierw łamać hasła. Jeśli środowisko nadal ufa skradzionemu skrótowi hasła, może to wystarczyć do uwierzytelnienia się i przejścia do innego systemu. Organizacja MITRE definiuje Pass the Hash jako podtechnikę użycia alternatywnego materiału uwierzytelniającego do ruchu bocznego.

Jak działa atak pass-the-hash bez prawdziwego hasła?

Atak działa, ponieważ niektóre przepływy uwierzytelniania akceptują dowód pochodzący ze skrótu hasła zamiast wymagać od użytkownika wpisania hasła w postaci jawnego tekstu za każdym razem. W środowiskach Windows tradycyjnie miało to największe znaczenie tam, gdzie nadal obecny jest protokół NTLM. Aktualne wskazówki firmy Microsoft dotyczące wycofywania NTLM odzwierciedlają długo znane ryzyko związane z atakami tego rodzaju opartymi na ponownym użyciu poświadczeń.

Czy pass-the-hash to tylko problem systemu Windows?

Klasyczne pass-the-hash jest najsilniej kojarzone z systemem Windows i uwierzytelnianiem opartym na protokole NTLM. Właśnie tam ta technika jest najczęściej omawiana i tam wskazówki obronne są najbardziej dojrzałe. Szersza lekcja ma jednak szersze zastosowanie. Każde środowisko, które po naruszeniu pozostawia ujawniony materiał uwierzytelniający nadający się do ponownego użycia, tworzy podobne ryzyko, nawet jeśli konkretna mechanika jest inna. Plan przejścia z NTLM przedstawiony przez firmę Microsoft jest silnym sygnałem, że starsze zależności uwierzytelniania nadal mają znaczenie w rzeczywistych środowiskach.

Kto jest najbardziej narażony na ataki pass-the-hash?

Organizacje najwyższego ryzyka to te, które mają nakładające się słabości tożsamości, a nie jedną odosobnioną lukę. Obejmuje to środowiska z użyciem starszego NTLM, współdzielonymi lokalnymi hasłami administratora, szerokimi uprawnieniami administratora, słabo segmentowanymi sieciami i hybrydową infrastrukturą Active Directory. Wspólne wskazówki zawarte w dokumencie Detecting and Mitigating Active Directory Compromises podkreślają, że nadużycie usługi Active Directory często umożliwia szerokie naruszenie w całym przedsiębiorstwie, gdy kradzież poświadczeń łączy się z nadużyciem uprawnień.

Czy uwierzytelnianie wieloskładnikowe zatrzymuje pass-the-hash?

Uwierzytelnianie wieloskładnikowe pomaga zmniejszyć ryzyko, ale nie jest uniwersalnym rozwiązaniem dla każdego scenariusza pass-the-hash. Jeśli atakujący działa już wewnątrz starszej ścieżki uwierzytelniania, która nadal ufa skradzionemu materiałowi uwierzytelniającemu, MFA samo w sobie może nie usunąć w pełni tej ekspozycji. Najsilniejsze efekty daje połączenie MFA z utwardzaniem punktów końcowych, rozdzieleniem uprawnień i ograniczeniem zależności od haseł wielokrotnego użytku. Organizacje budujące taką szerszą postawę tożsamości często łączą silniejsze mechanizmy logowania z uwierzytelnianiem opartym na ryzyku i zasadami Zero Trust.

Co to jest najlepsza obrona przed atakami pass-the-hash?

Najlepsza obrona jest warstwowa. Ogranicz albo usuń NTLM tam, gdzie to możliwe, chroń materiał uwierzytelniający na punktach końcowych, używaj unikalnych lokalnych haseł administratora, utrzymuj konta uprzywilejowane poza standardowymi stacjami roboczymi i ograniczaj ścieżki ruchu bocznego. Wieloletnie wskazówki firmy Microsoft zawarte w dokumencie Mitigating Pass-the-Hash Attacks and Other Credential Theft podkreślają, że żaden pojedynczy mechanizm kontroli nie wystarcza i że skuteczna obrona wymaga holistycznej strategii obejmującej tożsamość, punkty końcowe i praktyki administracyjne.

Jak zespoły bezpieczeństwa mogą wcześniej wykrywać pass-the-hash?

Wczesne wykrywanie zależy od korelowania wielu słabych sygnałów zamiast czekania na jeden głośny alert. Przydatne wskaźniki obejmują nietypowe użycie NTLM, logowania z nieoczekiwanych hostów, szybkie przemieszczanie się między systemami, podejrzany dostęp do magazynów poświadczeń i aktywność uprzywilejowaną, która nie pasuje do normalnego zachowania konta. Zespoły, które koncentrują się również na zapobieganiu przejęciu kont, zwykle poprawiają widoczność rodzajów nadużyć tożsamości, które często pojawiają się przed aktywnością pass-the-hash albo w jej trakcie.

Jak organizacja powinna zareagować po wykryciu pass-the-hash?

Potraktuj to jednocześnie jako incydent punktu końcowego i incydent tożsamości. Izoluj dotknięte systemy, powstrzymaj nadużywane konta, zbadaj pełny zakres i załóż, że atakujący może spróbować ponownie się przemieścić przy użyciu powiązanych poświadczeń albo tożsamości o wyższej wartości. Wspólne wskazówki dotyczące naruszenia Active Directory od agencji CISA i instytucji partnerskich zalecają powstrzymanie, przegląd kont uprzywilejowanych, poprawę higieny poświadczeń i utwardzenie architektury, aby zapobiec ponownemu nadużyciu.

Co dzieje się w ataku przejściowym obejmującym pass-the-hash?

W środowisku hybrydowym pass-the-hash może stać się częścią większego pivotu. Atakujący może zacząć od jednego przejętego punktu końcowego, ponownie wykorzystać lokalny materiał uwierzytelniający do rozszerzenia dostępu, a następnie obrać za cel systemy łączące wewnętrzną infrastrukturę tożsamości ze zdalnym dostępem, narzędziami zarządzania albo usługami połączonymi z chmurą. Sama technika nadal opiera się na ponownym użyciu poświadczeń, ale wpływ biznesowy może wykraczać daleko poza jedną stację roboczą. To jeden z powodów, dla których wiele organizacji wzmacnia mechanizmy kontroli oparte na ryzyku przy użyciu polityk uwierzytelniania, aby decyzje o dostępie mogły dostosowywać się do kontekstu zamiast ufać wszędzie tym samym sygnałom.

Dlaczego pass-the-hash nadal ma znaczenie, jeśli NTLM jest wycofywany?

Ponieważ starsze zależności nie znikają z dnia na dzień. Wiele organizacji nadal potrzebuje czasu, aby zidentyfikować miejsca użycia NTLM, zastąpić starsze przepływy pracy i utwardzić ścieżki dostępu uprzywilejowanego. Aktualna mapa drogowa firmy Microsoft jasno pokazuje, że celem jest domyślne wyłączenie NTLM w przyszłych wydaniach systemu Windows. Jednocześnie uznaje ona, że przedsiębiorstwa potrzebują stopniowego przejścia. Dopóki te prace nie zostaną wykonane, pass-the-hash pozostaje praktyczną ścieżką ataku w wielu środowiskach.

Końcowe przemyślenia o obronie przed pass-the-hash

Pass-the-hash pozostaje skuteczne wszędzie tam, gdzie skradzionemu materiałowi uwierzytelniającemu można nadal ufać.

Aby zmniejszyć ryzyko:

Chroń sekrety na punktach końcowych.
Utrzymuj ścisłą kontrolę nad uprawnieniami administratora.
Wycofuj NTLM tam, gdzie to możliwe.
Zabezpiecz zdalny dostęp i administracyjne przepływy pracy.
Szybko wykrywaj nietypową aktywność uwierzytelniania.

Cel jest prosty: sprawić, by skradziony skrót hasła był znacznie mniej użyteczny po naruszeniu.