¿Qué son Pass-the-Hash (PtH) y Pass-the-Ticket (PtT)?

Los ataques Pass-the-Hash (PTH) y Pass-the-Ticket (PTT) son técnicas utilizadas para explotar los protocolos de autenticación. Esta guía explora cómo funcionan estos ataques, sus implicaciones para la seguridad y las estrategias para prevenirlos.

Descubra la importancia de proteger las credenciales y supervisar las actividades sospechosas. Comprender los ataques PTH y PTT es esencial para que las organizaciones protejan sus sistemas.

Las organizaciones deben implementar controles de acceso sólidos, emplear herramientas avanzadas de detección y supervisión de amenazas, y actualizar periódicamente los protocolos de seguridad para frustrar estas tácticas encubiertas. De este modo, podrán defenderse mejor contra las amenazas persistentes y en constante evolución que plantean PtH y PtT, protegiendo sus datos confidenciales y la integridad de la red.

La diferencia entre Pass-the-Hash (PtH) y Pass-the-Ticket (PtT)

PtH y PtT son técnicas maliciosas utilizadas en ciberseguridad, pero difieren en su enfoque y ejecución, aunque comparten características comunes. Tanto PtH como PtT se utilizan en:

• Ataques de autenticación – Tanto PtH como PtT son ataques basados en la autenticación, dirigidos a los mecanismos utilizados para verificar la identidad de los usuarios o sistemas en una red.
• Movimiento lateral – Ambos ataques permiten el movimiento lateral dentro de una red. Una vez obtenido el acceso inicial, los atacantes utilizan credenciales robadas (hash o tickets) para moverse lateralmente y acceder a otros sistemas o recursos.
• Evasión de la detección – Los ataques PtH y PtT son de naturaleza sigilosa, ya que a menudo evitan la necesidad de obtener contraseñas en texto plano, lo que los hace más difíciles de detectar.

PtH y PtT difieren en los siguientes aspectos clave:

• Objetivos – PtH se centra principalmente en robar contraseñas con hash de sistemas comprometidos, mientras que PtT se centra en el robo y el uso indebido de tickets de autenticación en entornos de dominio de Windows.
• Credenciales – En PtH, los atacantes utilizan contraseñas hash robadas para la autenticación, mientras que en PtT, abusan de los tickets Kerberos generados para la autenticación de usuarios o servicios.
• Ámbito – Los ataques PtH tienen un ámbito más amplio, ya que pueden dirigirse a diversas plataformas y sistemas más allá de los dominios de Windows. Los ataques PtT son más específicos de los entornos de dominio de Windows.

Tanto PtH como PtT son tácticas peligrosas para el movimiento lateral y la escalada de privilegios en los ciberataques. Aunque comparten el objetivo común de comprometer la autenticación, PtH implica el robo de hash de contraseñas, mientras que PtT se centra en el abuso de los tickets de autenticación dentro de los dominios de Windows. Comprender las diferencias y similitudes entre estas técnicas es esencial para una defensa eficaz de la ciberseguridad y una respuesta eficaz ante incidentes.

Breve descripción general de Pass-the-Hash (PtH) y Pass-the-Ticket (PtT)

Los ataques PtH y PtT llamaron la atención por primera vez en la década de 1990, cuando los ciberdelincuentes y los investigadores de seguridad comenzaron a reconocer las debilidades inherentes a la forma en que los sistemas operativos Windows gestionan las credenciales de autenticación. PtH surgió como una técnica para extraer datos de contraseñas hash de sistemas comprometidos. Los atacantes podían reutilizar estos valores hash para autenticarse en otros sistemas, evitando así la necesidad de contraseñas de texto plano.

PtT, por otro lado, se dirige principalmente a entornos Windows que utilizan el protocolo de autenticación Kerberos. Implica el robo y el uso indebido de tickets de autenticación, que se generan durante la autenticación de usuarios o servicios. Los atacantes aprovechan las fallas del sistema de tickets de Kerberos, lo que les permite suplantar a usuarios o servicios legítimos y obtener acceso no autorizado a sistemas y recursos.

En el panorama actual de la ciberseguridad, los ataques PtH y PtT siguen siendo amenazas potentes. Los atacantes han perfeccionado estas técnicas y las han incorporado a campañas de amenazas persistentes avanzadas (APT) y (APT) y en campañas de ransomware , que a menudo aprovechan vulnerabilidades en la seguridad de la red o utilizan tácticas de ingeniería social para obtener acceso inicial. Una vez dentro de una red, utilizan ataques PtH y PtT para moverse lateralmente, escalar privilegios y extraer datos.

La importancia de los ataques PtH y PtT se ve subrayada por su capacidad para eludir las medidas de seguridad tradicionales y evadir la detección aprovechando las credenciales hash y los tickets de autenticación. La defensa contra estos ataques requiere un enfoque múltiple, que incluye políticas de contraseñas seguras, actualizaciones de seguridad periódicas, controles de acceso robustos y sistemas avanzados de detección de amenazas.

Comprender cómo funcionan Pass-the-Hash (PtH) y Pass-the-Ticket (PtT)

PtH y PtT son tácticas sofisticadas y maliciosas empleadas en ciberseguridad, específicamente en entornos Windows, que facilitan el acceso no autorizado y la escalada de privilegios. Estas técnicas se desarrollaron originalmente como métodos encubiertos para comprometer los sistemas de autenticación de Windows y desde entonces han evolucionado hasta convertirse en amenazas persistentes en el panorama de la ciberseguridad.

Los ataques PtH y PtT son técnicas utilizadas por los atacantes para obtener acceso no autorizado a sistemas y recursos dentro de una red. NTLM (NT LAN Manager) suele ser un objetivo en estos ataques debido a sus vulnerabilidades inherentes. A continuación se ofrece una explicación técnica detallada de cómo funcionan estas técnicas:

Pass-the-Hash (PtH)

• Robo inicial de credenciales – Los ataques PtH suelen comenzar cuando el atacante obtiene acceso inicial a un sistema Windows, a menudo mediante métodos como el phishing, infección por malware o aprovechando vulnerabilidades del software. Una vez dentro del sistema, el objetivo del atacante8217;s objetivo es robar los datos de contraseñas con hash almacenados localmente en el sistema. Windows almacena representaciones con hash de las contraseñas en la memoria para facilitar la autenticación sin revelar la contraseña en texto plano.
• Captura de hash – Los atacantes utilizan diversas herramientas y técnicas para extraer los datos de contraseñas hash de la memoria del sistema. Una herramienta de uso común es Mimikatz, que puede recuperar credenciales de sistemas Windows.
• Uso del hash – Con el hash de contraseña capturado, el atacante no necesita conocer la contraseña real en texto plano. En su lugar, utiliza este hash directamente en los intentos de autenticación.
• El atacante envía el hash robado al sistema de destino al que desea acceder, fingiendo ser un usuario legítimo. A continuación, el sistema de destino hash la contraseña proporcionada por el atacante y la compara con el hash almacenado para la autenticación.
• Acceso obtenido – Si los hash coinciden, el atacante obtiene acceso no autorizado al sistema o recurso objetivo, eludiendo de forma efectiva la necesidad de la contraseña en texto plano de la víctima.
• Los atacantes suelen utilizar este acceso para moverse lateralmente dentro de la red, escalar privilegios y acceder a datos confidenciales.

Pass-the-Ticket (PtT)

• Autenticación Kerberos – Los ataques PtT se dirigen principalmente a entornos Windows que utilizan el protocolo de autenticación Kerberos. Kerberos se utiliza habitualmente en entornos Active Directory (AD) para el inicio de sesión único y la autenticación segura.
• Creación inicial del ticket – Cuando un usuario inicia sesión en un sistema Windows, el proceso de autenticación Kerberos genera un ticket de concesión de tickets (TGT) para el usuario, cifrado con un secreto a largo plazo (normalmente el hash de la contraseña del usuario) que solo conocen el usuario y el centro de distribución de claves (KDC).
• Extracción de tickets – En un ataque PtT, el atacante pretende capturar este TGT de la memoria de un sistema comprometido al que ha obtenido acceso inicial.
• El atacante utiliza herramientas como Mimikatz para extraer los TGT de la memoria.
• Uso del ticket – Con el TGT robado en su poder, el atacante puede suplantar al usuario legítimo asociado al TGT. El atacante presenta el TGT al KDC cuando solicita tickets de servicio para recursos específicos.
• Solicitud de tickets de servicio – El KDC, que confía en el TGT, emite tickets de servicio para los recursos que solicita el atacante. Estos tickets de servicio se cifran con una clave de sesión derivada del TGT.
• Acceso a los recursos – Armado con tickets de servicio válidos, el atacante puede acceder a los recursos y sistemas de la red como si fuera el usuario legítimo. Esto le permite moverse lateralmente dentro de la red y comprometer potencialmente otros sistemas.

Tanto los ataques PtH como los PtT son especialmente preocupantes porque permiten a los atacantes operar sin conocer la contraseña en texto plano de la víctima. Para mitigar estos ataques se requiere un enfoque múltiple, que incluya políticas de contraseñas seguras, actualizaciones de seguridad periódicas, controles de acceso robustos y detección avanzada de amenazas. Además, las organizaciones deben vigilar los indicios de robo de credenciales y las actividades de autenticación inusuales para detectar y responder rápidamente a los ataques PtH y PtT.

Para protegerse contra los riesgos asociados a los ataques PtH y PtT, las empresas están implementando varias medidas:

• Autenticación fuerte – El empleo de autenticación multifactorial (MFA) y la autenticación de dos factores (2FA) añade una capa adicional de seguridad más allá de las contraseñas.
• Acceso con privilegios mínimos – Restringir los derechos y privilegios de acceso de los usuarios ayuda a limitar el daño que pueden causar las credenciales comprometidas.
• Gestión de acceso privilegiado (PAM) – Las soluciones PAM ayudan a gestionar, supervisar y proteger las cuentas y el acceso privilegiadosy el acceso.
• Segmentación de la red – Aislar los sistemas críticos de los menos críticos puede limitar el movimiento lateral dentro de una red.
• Rotación periódica de credenciales – La implementación de políticas que exigen cambios de contraseña a intervalos periódicos ayuda a reducir las oportunidades para los ataques PtH y PtT.
• Formación en concienciación sobre seguridad – Es esencial educar a los empleados sobre los riesgos de los ataques PtH y PtT y la importancia de una buena higiene de contraseñas.
• Sistemas de detección de intrusiones – El uso de sistemas avanzados de detección de intrusiones puede ayudar a detectar y bloquear los intentos de PtH y PtT.

Conclusión

Los ataques Pass-the-Hash (PtH) y Pass-the-Ticket (PtT) son amenazas persistentes en el ámbito digital actual. Estas técnicas, que a menudo se dirigen a protocolos de autenticación como NTLM y Kerberos, ponen de relieve la naturaleza evolutiva de los ciberataques y la necesidad de una vigilancia permanente.

PtH y PtT aprovechan las vulnerabilidades de los mecanismos de autenticación, lo que permite a los atacantes infiltrarse clandestinamente en las redes, moverse lateralmente, escalar privilegios y obtener acceso no autorizado a sistemas y datos sensibles. Las consecuencias pueden ser muy graves, desde violaciones de datos y pérdidas económicas hasta daños a la reputación.

Los ataques PtH y PtT sirven como un claro recordatorio de que el panorama de la ciberseguridad es un campo de batalla en constante cambio. Para protegerse contra estas amenazas, las personas y las organizaciones deben permanecer alerta, adoptar medidas de seguridad proactivas y colaborar con expertos en ciberseguridad. Mantenerse a la vanguardia de los ataques PtH y PtT no solo es importante, sino que es la clave para salvaguardar el mundo digital frente a adversarios implacables.

Preguntas frecuentes sobre Pass The Hash Vs Pass The Ticket