Pass the Hash: Use Alternate Authentication Material — Pass the Hash (T1550.002)

Per simulare Pass the Hash in laboratorio servono due ingredienti: un hash NTLM valido e un tool in grado di iniettarlo nel flusso di autenticazione. Il primo passo è il dump delle credenziali — una fase di Credential Access che precede il movimento laterale vero e proprio.

Estrazione degli hash con Mimikatz (open source). Su una macchina Windows compromessa con privilegi SYSTEM o di amministratore locale, il modulo sekurlsa consente di estrarre gli hash dalla memoria LSASS:

mimikatz # privilege::debug mimikatz # sekurlsa::logonpasswords

L'output mostra gli hash NTLM degli utenti con sessioni attive. Una volta in possesso dell'hash, il modulo pth di Mimikatz avvia un nuovo processo con l'identità rubata:

mimikatz # sekurlsa::pth /user:admin /domain:lab.local /ntlm:<hash_ntlm>

Questo comando apre una shell cmd.exe il cui token di sicurezza è associato all'hash fornito. Da quella shell, qualsiasi connessione SMB o WMI verso sistemi remoti utilizzerà automaticamente l'hash come credenziale.

Movimento laterale con CrackMapExec/NetExec (open source — il progetto originale CrackMapExec è stato rinominato in NetExec). Il tool permette di validare l'hash su più host contemporaneamente e di eseguire comandi:

netexec smb 192.168.1.0/24 -u administrator -H <hash_ntlm> --exec-method smbexec -x "whoami"

Il flag -H specifica l'hash al posto della password. Il parametro --exec-method consente di scegliere tra diversi metodi di esecuzione remota (smbexec, wmiexec, atexec), ognuno con un profilo di detection differente.

PoshC2 (open source) e Empire (open source) offrono moduli integrati per PtH. In Empire il modulo lateral_movement/invoke_smbexec accetta direttamente l'hash NTLM. In Cobalt Strike (a pagamento), l'operatore usa il comando pth dalla Beacon console per iniettare l'hash nel token corrente.

Per simulare la variante overpass-the-hash, Mimikatz crea un TGT Kerberos partendo dall'hash:

mimikatz # sekurlsa::pth /user:admin /domain:lab.local /ntlm:<hash_ntlm> /run:powershell.exe

Dalla sessione PowerShell risultante, un semplice accesso a una risorsa di rete (es. dir \\dc01\c$) forza la richiesta Kerberos e genera un TGT valido nel ticket cache locale, verificabile con klist.

Come setup di laboratorio consigliato: due macchine Windows in dominio Active Directory, Sysmon installato per catturare i log, e un account locale amministratore con la stessa password su entrambi i sistemi — condizione comune in ambienti reali e prerequisito perfetto per dimostrare il rischio.

Il cuore della detection di Pass the Hash sta nei log di autenticazione NTLM e nella correlazione tra eventi apparentemente legittimi che, combinati, rivelano un pattern anomalo.

La strategia di rilevamento documentata (DET0409) si basa su tre pilastri. Il primo è l'identificazione di autenticazioni NTLM di LogonType 3 (network logon) che non sono accompagnate da un evento di logon interattivo precedente sulla macchina sorgente. In un flusso normale, un utente si autentica localmente (LogonType 2 o 10) e poi accede a risorse remote. Quando un hash viene iniettato, il LogonType 3 compare senza alcun logon interattivo corrispondente.

Gli eventi chiave da monitorare nel canale WinEventLog:Security sono:

• EventCode 4624 con LogonType 3 e pacchetto di autenticazione NTLM — è l'evento cardine
• EventCode 4776 — validazione delle credenziali NTLM sul domain controller
• EventCode 4672 — assegnazione di privilegi speciali, particolarmente rilevante quando segue immediatamente un 4624 NTLM

Sul versante Sysmon (WinEventLog:Sysmon), l'EventCode 1 (Process Creation) cattura l'avvio di processi da parte di tool come Mimikatz, mentre l'EventCode 3 (Network Connection) mostra connessioni SMB (porta 445) originate da processi insoliti.

Per la variante overpass-the-hash, la correlazione diventa più raffinata: un'autenticazione NTLM seguita a breve distanza da un EventCode 4768 (TGT Request) per lo stesso account è un indicatore ad alta fedeltà. La finestra temporale tra i due eventi è un parametro di tuning critico — troppo stretta e perdi i casi lenti, troppo ampia e anneghi nei falsi positivi. Un buon punto di partenza è 5 minuti.

Il tuning dei falsi positivi richiede attenzione. Account di servizio e strumenti di gestione remota generano autenticazioni NTLM LogonType 3 in modo legittimo. La chiave è costruire una baseline degli account che normalmente generano questo pattern e alertare sulle deviazioni. Il parametro SourceAccountAnomalyThreshold nella strategia di detection serve esattamente a questo: definire quanto un comportamento deve deviare dalla norma prima di generare un alert.

Come controlli preventivi, la configurazione della chiave di registro LocalAccountTokenFilterPolicy a 0 (valore di default) impedisce agli account locali non-RID 500 di ottenere privilegi elevati via rete — una barriera diretta contro PtH con account locali. L'abilitazione di UAC in modalità Admin Approval Mode aggiunge un ulteriore livello di protezione.

L'analisi forense di un Pass the Hash richiede la ricostruzione del percorso laterale dell'attaccante attraverso gli artefatti di autenticazione distribuiti su più sistemi. La sfida principale è che l'autenticazione via hash produce eventi di logon apparentemente legittimi — la differenza sta nei dettagli e nei pattern temporali.

Il punto di partenza è il log Security del sistema bersaglio. L'evento EventCode 4624 con LogonType 3 e Authentication Package "NTLM" contiene il campo Logon Process: un valore "NtLmSsp" combinato con un Source Network Address interno è il primo artefatto da annotare nella timeline. Il campo WorkstationName rivela il nome della macchina da cui l'attaccante ha iniettato l'hash, anche se l'attaccante potrebbe falsificarlo.

Sul sistema sorgente (la macchina compromessa), gli artefatti di processo sono fondamentali. Sysmon EventCode 1 registra la catena di esecuzione: l'avvio di mimikatz.exe (o del binario rinominato) con argomenti contenenti sekurlsa::pth è l'artefatto più diretto. Quando il tool è stato rinominato, il campo OriginalFileName nel log Sysmon spesso conserva il nome originale, e l'hash dell'eseguibile resta un indicatore valido.

Per ricostruire la sequenza temporale completa, concentrati su questi artefatti in ordine cronologico:

1. Accesso a LSASS sul sistema sorgente — Sysmon EventCode 10 (Process Access) con TargetImage che punta a lsass.exe e GrantedAccess che include i flag 0x1010 o 0x1038
2. Avvio del processo con hash iniettato — Sysmon EventCode 1 che mostra un cmd.exe o powershell.exe figlio del processo PtH
3. Connessione di rete — Sysmon EventCode 3 con porta destinazione 445 (SMB) o 135 (RPC/WMI) dal processo figlio
4. Logon sul target — EventCode 4624 LogonType 3 NTLM sul sistema remoto
5. Esecuzione remota — EventCode 4688 (o Sysmon 1) sul target che mostra comandi eseguiti nel contesto dell'account compromesso

Nel caso di Aquatic Panda, un artefatto aggiuntivo distingue la variante RDP: la modifica del registro per abilitare RestrictedAdmin Mode. La chiave HKLM\SYSTEM\CurrentControlSet\Control\Lsa\DisableRestrictedAdmin impostata a 0 nel registro è un indicatore forense persistente. Le timeline del registro Windows (analizzabili con RegRipper, open source) mostrano il timestamp esatto della modifica.

Per la campagna Night Dragon (C0002), gli investigatori hanno identificato l'uso di tool PtH dedicati per accedere a desktop e server sensibili nel settore energetico. La correlazione tra gli accessi NTLM anomali e l'esfiltrazione successiva di dati SCADA ha permesso di ricostruire l'intera catena di compromissione.

L'analisi dei log del Domain Controller è l'ultimo tassello: l'assenza di un EventCode 4768 (TGT request) prima di un EventCode 4776 (NTLM credential validation) per lo stesso account è un marker di PtH puro, mentre la presenza di entrambi in rapida successione segnala overpass-the-hash.

Pass the Hash è una tecnica trasversale a gruppi con mandati operativi molto diversi, ma il pattern d'uso rivela logiche comuni. Con 11 gruppi APT documentati, è una delle tecniche di lateral movement più adottate — e il profilo degli utilizzatori racconta molto sulle ragioni.

APT28 (G0007), il gruppo legato al GRU russo, utilizza PtH come componente standard della fase post-compromissione. La tecnica si inserisce nel loro playbook che privilegia velocità di movimento laterale e accesso a obiettivi di alto valore in ambienti governativi e militari. APT32 (G0050), attribuito al Vietnam, segue un pattern simile ma con target nel settore privato e giornalistico del Sud-est asiatico — PtH è il collante tra la compromissione iniziale e l'accesso ai sistemi contenenti dati sensibili.

Il cluster cinese è particolarmente nutrito. APT1 (G0006), APT41 (G0096) e Aquatic Panda (G0143) impiegano tutti PtH, ma con sfumature tecniche diverse. APT41 si appoggia esplicitamente a Mimikatz, mentre Aquatic Panda ha dimostrato sofisticazione tattica abilitando RestrictedAdmin Mode via registro per estendere PtH alle sessioni RDP — una variante che riduce ulteriormente la superficie di detection rispetto al classico PtH su SMB.

Wizard Spider (G0102) e FIN13 (G1016) rappresentano il versante finanziario. Entrambi utilizzano il cmdlet PowerShell Invoke-SMBExec per il PtH, suggerendo una condivisione di tooling o di procedure operative all'interno dell'ecosistema cybercriminale. Wizard Spider, noto per le operazioni ransomware TrickBot/Conti, usa PtH come acceleratore del lateral movement pre-cifratura. FIN13 lo impiega in campagne di lungo periodo contro target finanziari in America Latina.

Kimsuky (G0094), il gruppo nordcoreano, presenta un uso peculiare: PtH non per il lateral movement classico ma per l'autenticazione a software di accesso remoto usato come C2. Questo suggerisce un'integrazione della tecnica direttamente nell'infrastruttura di comando e controllo, non solo nella fase di esplorazione laterale.

Ember Bear (G1003) e GALLIUM (G0093) completano il quadro con un uso diretto e senza fronzoli del PtH per spostarsi nelle reti delle vittime dopo il dump degli hash. Chimera (G0114) esplicita la catena: dump degli hash come prerequisito, poi PtH per il movimento.

La campagna Night Dragon (C0002, 2009-2011) dimostra che PtH è una tecnica consolidata da oltre un decennio nel targeting di settori critici come quello energetico e petrolifero.

Il trend emergente è l'evoluzione verso varianti meno convenzionali — come il PtH via RDP di Aquatic Panda o l'integrazione nel C2 di Kimsuky — che indicano un adattamento attivo alle difese perimetrali tradizionali focalizzate sul monitoraggio SMB.

Framework MITRE ATT&CK v16 — T1550.002 (Pass the Hash), tattiche TA0005/TA0008, campagna C0002 (Night Dragon). Detection: DET0409, analytic AN1144. Mitigazioni: M1051, M1052, M1018, M1026. Tool di detection: Sysmon, Windows Security Event Log. Integrato con conoscenza professionale per tool e procedure operative.