Pass the Hash: Autenticazione Laterale con Hash Rubati (T1550.002)

Il cuore operativo di Pass the Hash risiede nella capacità di utilizzare hash NTLM catturati per autenticarsi senza password. Il comando principe per questa tecnica è sekurlsa::pth di Mimikatz, che permette l'impersonificazione immediata:

mimikatz # sekurlsa::pth /user:administrator /domain:target.local /ntlm:8846f7eaee8fb117ad06bdd830b7586c

Per movimenti laterali rapidi, CrackMapExec offre un approccio più automatizzato. Il tool supporta autenticazione diretta via SMB utilizzando solo l'hash:

crackmapexec smb 192.168.1.0/24 -u administrator -H 8846f7eaee8fb117ad06bdd830b7586c

PowerShell Empire integra moduli dedicati per scenari più complessi. Il cmdlet Invoke-SMBExec permette esecuzione remota immediata:

Invoke-SMBExec -Target 192.168.1.100 -Username Administrator -Hash 8846f7eaee8fb117ad06bdd830b7586c -Command "net user hacker P@ssw0rd /add"

La variante "overpass the hash" richiede passaggi aggiuntivi per generare ticket Kerberos validi. Rubeus o Mimikatz possono convertire hash NTLM in ticket TGT utilizzabili per autenticazioni successive.

Per ambienti con RestrictedAdmin abilitato, il registro Windows diventa alleato prezioso. La modifica HKLM\System\CurrentControlSet\Control\Lsa\DisableRestrictedAdmin a 0 permette connessioni RDP usando solo hash, tecnica documentata nel repertorio di Aquatic Panda.

La detection efficace di Pass the Hash richiede correlazione multi-evento piuttosto che singoli indicatori. Il pattern chiave da monitorare è l'autenticazione NTLM LogonType 3 senza precedenti eventi di logon del dominio.

Windows Security Log genera EventID 4624 per ogni autenticazione riuscita. L'anomalia sta nel LogonType: mentre un utente normale genera Type 2 (interattivo) seguito da Type 3 (rete), Pass the Hash produce direttamente Type 3 senza precedenti interattivi.

La strategia DET0409 suggerisce correlazione temporale tra creazione LogonSession, autenticazioni NTLM e avvio processi. Un alert efficace monitora:

EventID 4624 (LogonType=3) seguito da EventID 4688 (creazione processo) entro 5 secondi dallo stesso SourceIP

Sysmon arricchisce la visibilità con EventID 10 per accesso a processi LSASS. Pattern sospetti includono tools non-Microsoft che accedono a lsass.exe, specialmente se preceduti da autenticazioni Type 3 anomale.

I falsi positivi derivano principalmente da applicazioni legittime che usano autenticazione NTLM programmatica. Whitelisting basato su hash di processo e path riduce il rumore: servizi backup, monitoring agents e software deployment generano pattern prevedibili distinguibili da attività malevole.

L'analisi forense di Pass the Hash inizia dal Security.evtx, dove le tracce persistono anche dopo pulizia dei log applicativi. Gli artefatti chiave risiedono nella sequenza di EventID 4624 con LogonType 3, correlati a WorkstationName e SourceNetworkAddress inusuali.

Il registro LSA mantiene tracce nelle chiavi HKLM\SECURITY\Policy\Secrets, dove hash cached possono rivelare quali account sono stati compromessi. L'analisi del prefetch di Windows spesso mostra esecuzioni di mimikatz.exe o varianti rinominate.

La timeline reconstruction parte dall'identificazione del primo uso documentato dell'hash. Nella campagna Night Dragon, i forensic analyst hanno ricostruito movimenti laterali tracciando:

• Timestamp di modifica su DisableRestrictedAdmin nel registro
• Correlazione tra EventID 4776 (validazione credenziali) su diversi Domain Controller
• Artefatti di esecuzione remota in C:\Windows\System32\Tasks

Memory forensics con Volatility rivela processi con token impersonati. Il plugin "getsids" identifica discrepanze tra SID del processo e SID del token, indicatore forte di token manipulation post-PtH.

Gli attaccanti esperti come APT28 combinano Pass the Hash con tecniche di timestomping. L'analisi $MFT diventa cruciale per identificare incongruenze temporali che rivelano la vera sequenza di compromissione.

APT1 rappresenta l'archetipo del threat actor che integra Pass the Hash in campagne persistenti. Il gruppo utilizza la tecnica dopo fase iniziale di credential dumping, tipicamente entro 48-72 ore dal primo accesso.

Wizard Spider mostra evoluzione tattica interessante: dal 2020 combina Invoke-SMBExec con ransomware deployment automatizzato. Il pattern geografico mostra preferenza per vittime con Active Directory flat, dove un singolo hash amministrativo sblocca l'intera infrastruttura.

FIN13 dimostra specializzazione settoriale, targeting esclusivo su istituzioni finanziarie. Il gruppo mantiene toolkit minimo ma efficace: PowerShell-based PtH tools custom che evadono signature commerciali.

Chimera e Ember Bear condividono infrastruttura operativa comune, suggerendo possibile supply chain di servizi PtH-as-a-Service nel underground russo. Entrambi mostrano preferenza per BADHATCH nelle versioni x64, indicatore utile per threat hunting proattivo.

I trend emergenti mostrano convergenza verso "living off the land": Kimsuky ha abbandonato tool esterni preferendo WMI e PowerShell nativi per Pass the Hash, rendendo detection più complessa ma lasciando impronte comportamentali uniche nel pattern di lateral movement.

Analisi basata su framework MITRE ATT&CK per T1550.002. Dati di campagne Night Dragon (2009-2011) documentate nel repository ufficiale. Riferimenti a detection strategy DET0409 per correlazione eventi Windows. Statistiche di utilizzo: 11 gruppi APT, 8 software specializzati, efficacia mitigazioni da implementazioni enterprise documentate.