Header Navigation - IT
Background image for Cosa sono Pass-the-Hash (PtH) e Pass-the-Ticket (PtT)?
Cybersecurity 101/Informazioni sulle minacce/Pass-the-Hash (PtH) e Pass-the-Ticket (PtT)

Cosa sono Pass-the-Hash (PtH) e Pass-the-Ticket (PtT)?

Gli attacchi Pass-the-Hash e Pass-the-Ticket sfruttano i protocolli di autenticazione. Scopri come difenderti da queste tecniche sofisticate.

Gli attacchi Pass-the-Hash (PTH) e Pass-the-Ticket (PTT) sono tecniche utilizzate per sfruttare i protocolli di autenticazione. Questa guida illustra il funzionamento di questi attacchi, le loro implicazioni per la sicurezza e le strategie di prevenzione.

Scopri l'importanza di proteggere le credenziali e monitorare le attività sospette. Comprendere gli attacchi PTH e PTT è essenziale per le organizzazioni che desiderano proteggere i propri sistemi.

Le organizzazioni devono implementare controlli di accesso rigorosi, utilizzare strumenti avanzati di rilevamento e monitoraggio delle minacce e aggiornare regolarmente i protocolli di sicurezza per contrastare queste tattiche nascoste. In questo modo, possono difendersi meglio dalle minacce persistenti e in continua evoluzione poste da PtH e PtT, salvaguardando i propri dati sensibili e l'integrità della rete.

La differenza tra Pass-the-Hash (PtH) e Pass-the-Ticket (PtT)

PtH e PtT sono entrambe tecniche dannose utilizzate nella sicurezza informatica, ma differiscono per obiettivo e modalità di esecuzione, pur condividendo alcune caratteristiche comuni. Sia PtH che PtT sono utilizzate in:

  • Attacchi di autenticazione – Sia PtH che PtT sono attacchi basati sull'autenticazione, che prendono di mira i meccanismi utilizzati per verificare l'identità degli utenti o dei sistemi in una rete.
  • Movimento laterale – Entrambi gli attacchi consentono il movimento laterale all'interno di una rete. Una volta ottenuto l'accesso iniziale, gli aggressori utilizzano le credenziali rubate (hash o ticket) per spostarsi lateralmente e accedere ad altri sistemi o risorse.
  • Evasione del rilevamento – Gli attacchi PtH e PtT sono di natura furtiva perché spesso evitano la necessità di ottenere password in chiaro, rendendoli più difficili da rilevare.

PtH e PtT differiscono nei seguenti aspetti chiave:

  • Obiettivi – PtH si concentra principalmente sul furto di password con hash da sistemi compromessi, mentre PtT si concentra sul furto e sull'uso improprio dei ticket di autenticazione all'interno degli ambienti di dominio Windows.
  • Credenziali – Nel PtH, gli aggressori utilizzano gli hash delle password rubate per l'autenticazione, mentre nel PtT abusano dei ticket Kerberos generati per l'autenticazione degli utenti o dei servizi.
  • Ambito – Gli attacchi PtH hanno un ambito più ampio, in quanto possono prendere di mira varie piattaforme e sistemi oltre ai domini Windows. Gli attacchi PtT sono più specifici per gli ambienti di dominio Windows.

Sia PtH che PtT sono tattiche pericolose per il movimento laterale e l'escalation dei privilegi negli attacchi informatici. Sebbene condividano l'obiettivo comune di compromettere l'autenticazione, PtH comporta il furto di hash delle password, mentre PtT si concentra sull'abuso dei ticket di autenticazione all'interno dei domini Windows. Comprendere le differenze e le somiglianze tra queste tecniche è essenziale per difese efficaci della sicurezza informatica e per la risposta agli incidenti.

Una breve panoramica di Pass-the-Hash (PtH) e Pass-the-Ticket (PtT)

Gli attacchi PtH e PtT hanno attirato l'attenzione per la prima volta già negli anni '90, quando i criminali informatici e i ricercatori di sicurezza hanno iniziato a riconoscere le debolezze intrinseche nel modo in cui i sistemi operativi Windows gestiscono le credenziali di autenticazione. Il PtH è emerso come una tecnica per estrarre i dati delle password con hash dai sistemi compromessi. Gli aggressori potevano quindi riutilizzare questi valori con hash per autenticarsi su altri sistemi, aggirando efficacemente la necessità di password in chiaro.

PtT, d'altra parte, prende di mira principalmente gli ambienti Windows che utilizzano il protocollo di autenticazione Kerberos. Prevede il furto e l'uso improprio dei ticket di autenticazione, che vengono generati durante l'autenticazione dell'utente o del servizio. Gli aggressori sfruttano le falle nel sistema di ticketing Kerberos, che consente loro di impersonare utenti o servizi legittimi e ottenere accesso non autorizzato a sistemi e risorse.

Nell'attuale panorama della sicurezza informatica, gli attacchi PtH e PtT rimangono minacce potenti. Gli aggressori hanno perfezionato queste tecniche e le hanno incorporate nelle campagne advanced persistent threat (APT) e negli attacchi ransomware, spesso sfruttando le vulnerabilità nella sicurezza della rete o utilizzando tattiche di ingegneria sociale per ottenere l'accesso iniziale. Una volta all'interno di una rete, utilizzano attacchi PtH e PtT per il movimento laterale, l'escalation dei privilegi e l'esfiltrazione dei dati.

L'importanza degli attacchi PtH e PtT è sottolineata dalla loro capacità di aggirare le misure di sicurezza tradizionali ed eludere il rilevamento sfruttando credenziali con hash e ticket di autenticazione. La difesa da questi attacchi richiede un approccio su più fronti, che include politiche di password forti, aggiornamenti di sicurezza regolari, controlli di accesso robusti e sistemi avanzati di rilevamento delle minacce.

Comprendere il funzionamento di Pass-the-Hash (PtH) e Pass-the-Ticket (PtT)

PtH e PtT sono tattiche sofisticate e dannose impiegate nella sicurezza informatica, in particolare negli ambienti Windows, che facilitano l'accesso non autorizzato e l'escalation dei privilegi. Queste tecniche sono state originariamente sviluppate come metodi segreti per compromettere i sistemi di autenticazione Windows e da allora si sono evolute in minacce persistenti nel panorama della sicurezza informatica.

Gli attacchi PtH e PtT sono tecniche utilizzate dagli aggressori per ottenere l'accesso non autorizzato a sistemi e risorse all'interno di una rete. NTLM (NT LAN Manager) è spesso un bersaglio di questi attacchi a causa delle sue vulnerabilità intrinseche. Ecco una spiegazione tecnica dettagliata di come funzionano queste tecniche:

Pass-the-Hash (PtH)

  • Furto iniziale delle credenziali – Gli attacchi PtH iniziano in genere con l'acquisizione da parte dell'autore dell'attacco dell'accesso iniziale a un sistema Windows, spesso attraverso metodi quali phishing, malware o sfruttando le vulnerabilità del software. Una volta entrato nel sistema, l'obiettivo dell'autore dell'attacco è quello di rubare i dati delle password con hash memorizzati localmente sul sistema. Windows memorizza le rappresentazioni con hash delle password nella memoria per facilitare l'autenticazione senza rivelare la password in chiaro.
  • Acquisizione hash – Gli aggressori utilizzano vari strumenti e tecniche per estrarre i dati delle password con hash dalla memoria del sistema. Uno strumento comunemente utilizzato è Mimikatz, che può recuperare le credenziali dai sistemi Windows.
  • Utilizzo dell'hash – Con l'hash della password catturato, l'autore dell'attacco non ha bisogno di conoscere la password effettiva in chiaro. Utilizza invece direttamente questo hash nei tentativi di autenticazione.
  • L'autore dell'attacco invia l'hash rubato al sistema di destinazione a cui desidera accedere, fingendo di essere un utente legittimo. Il sistema di destinazione esegue quindi l'hash della password fornita dall'autore dell'attacco e la confronta con l'hash memorizzato per l'autenticazione.
  • Accesso ottenuto – Se gli hash corrispondono, l'autore dell'attacco ottiene l'accesso non autorizzato al sistema o alla risorsa di destinazione, aggirando efficacemente la necessità della password in chiaro della vittima.
  • Gli aggressori spesso utilizzano questo accesso per spostarsi lateralmente all'interno della rete, aumentare i privilegi e accedere a dati sensibili.

Pass-the-Ticket (PtT)

  • Autenticazione Kerberos – Gli attacchi PtT prendono di mira principalmente gli ambienti Windows che utilizzano il protocollo di autenticazione Kerberos. Kerberos è comunemente utilizzato negli ambienti Active Directory (AD) per il single sign-on e l'autenticazione sicura.
  • Creazione iniziale del ticket – Quando un utente accede a un sistema Windows, il processo di autenticazione Kerberos genera un Ticket Granting Ticket (TGT) per l'utente, crittografato con un segreto a lungo termine (in genere l'hash della password dell'utente) noto solo all'utente e al Key Distribution Center (KDC).
  • Estrazione del ticket – In un attacco PtT, l'autore dell'attacco mira a catturare questo TGT dalla memoria di un sistema compromesso a cui ha ottenuto l'accesso iniziale.
  • L'autore dell'attacco utilizza strumenti come Mimikatz per estrarre i TGT dalla memoria.
  • Utilizzo del ticket – Con il TGT rubato a disposizione, l'autore dell'attacco può impersonare l'utente legittimo associato al TGT. L'autore dell'attacco presenta il TGT al KDC quando richiede ticket di servizio per risorse specifiche.
  • Richiesta di ticket di servizio – Il KDC, che si fida del TGT, emette ticket di servizio per le risorse richieste dall'autore dell'attacco. Questi ticket di servizio sono crittografati con una chiave di sessione derivata dal TGT.
  • Accesso alle risorse – Munito di ticket di servizio validi, l'autore dell'attacco può accedere alle risorse e ai sistemi di rete come se fosse un utente legittimo. Ciò gli consente di muoversi lateralmente all'interno della rete e potenzialmente compromettere altri sistemi.

Sia gli attacchi PtH che quelli PtT sono particolarmente preoccupanti perché consentono agli aggressori di operare senza conoscere la password in chiaro della vittima. Per mitigare questi attacchi è necessario un approccio su più fronti, che includa politiche di password forti, aggiornamenti di sicurezza regolari, controlli di accesso robusti e rilevamento avanzato delle minacce. Inoltre, le organizzazioni dovrebbero monitorare i segni di furto di credenziali e attività di autenticazione insolite per rilevare e rispondere prontamente agli attacchi PtH e PtT.

Per proteggersi dai rischi associati agli attacchi PtH e PtT, le aziende stanno implementando diverse misure:

  • Autenticazione forte – L'utilizzo dell'autenticazione a più fattori (MFA) (MFA) e l'autenticazione a due fattori (2FA) aggiungono un ulteriore livello di sicurezza oltre alle password.
  • Accesso con privilegi minimi – Limitare i aiuta a limitare i danni che possono essere causati da credenziali compromesse.
  • Gestione degli accessi privilegiati (PAM) – Le soluzioni PAM aiutano a gestire, monitorare e proteggere gli account e gli accessi privilegiati account e accessi privilegiati.
  • Segmentazione della rete – Isolare i sistemi critici da quelli meno critici può limitare il movimento laterale all'interno di una rete.
  • Rotazione regolare delle credenziali – L'implementazione di politiche che richiedono la modifica delle password a intervalli regolari contribuisce a ridurre le opportunità di attacchi PtH e PtT.
  • Formazione sulla consapevolezza della sicurezza – È essenziale educare i dipendenti sui rischi degli attacchi PtH e PtT e sull'importanza di una buona igiene delle password.
  • Sistemi di rilevamento delle intrusioni – L'utilizzo di sistemi avanzati di rilevamento delle intrusioni può aiutare a individuare e bloccare i tentativi di PtH e PtT.

Conclusione

Gli attacchi Pass-the-Hash (PtH) e Pass-the-Ticket (PtT) rappresentano minacce persistenti nell'attuale panorama digitale. Queste tecniche, che spesso prendono di mira protocolli di autenticazione come NTLM e Kerberos, evidenziano la natura in continua evoluzione degli attacchi informatici e la necessità di una vigilanza costante.

PtH e PtT sfruttano le vulnerabilità dei meccanismi di autenticazione, consentendo agli aggressori di infiltrarsi clandestinamente nelle reti, muoversi lateralmente, aumentare i privilegi e ottenere accesso non autorizzato a sistemi e dati sensibili. Le conseguenze possono essere molto gravi, e vanno dalla violazione dei dati e dalle perdite finanziarie al danno alla reputazione.

Gli attacchi PtH e PtT servono a ricordare che il panorama della sicurezza informatica è un campo di battaglia in continua evoluzione. Per proteggersi da queste minacce, gli individui e le organizzazioni devono rimanere vigili, adottare misure di sicurezza proattive e collaborare con esperti di sicurezza informatica. Stare al passo con gli attacchi PtH e PtT non è solo importante, è la chiave per salvaguardare il mondo digitale di fronte ad avversari implacabili.

Migliorare l'intelligence sulle minacce

Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.

Per saperne di più

Domande frequenti su Pass The Hash Vs Pass The Ticket

Un attacco Pass-The-Hash si verifica quando un hacker ruba le credenziali hash degli utenti e le utilizza per autenticarsi senza bisogno della password effettiva. Estrae gli hash delle password dalla memoria di sistema utilizzando strumenti come Mimikatz e li riutilizza su altri sistemi. Questo attacco sfrutta i protocolli di autenticazione Windows come NTLM e funziona perché l'hash rimane statico fino a quando la password non viene modificata.

Un attacco Pass-The-Ticket consiste nel rubare i ticket Kerberos, in particolare i Ticket Granting Ticket (TGT) o i ticket di servizio, per impersonare utenti legittimi. Gli aggressori estraggono questi ticket dalla memoria e li inseriscono nelle proprie sessioni per accedere alle risorse di rete. Questo attacco aggira la normale autenticazione e consente il movimento laterale senza richiedere password.

Gli attacchi Pass-the-hash rubano e riutilizzano gli hash delle password NTLM, mentre gli attacchi Pass-the-ticket rubano e riutilizzano i ticket Kerberos. PtH richiede l'acquisizione delle credenziali con hash dai sistemi compromessi, mentre PtT utilizza invece ticket di sessione validi.

Gli attacchi PtT sono più furtivi poiché sfruttano ticket Kerberos legittimi anziché hash delle credenziali.

Entrambi gli attacchi iniziano con la compromissione iniziale del sistema tramite phishing o malware. Gli aggressori utilizzano quindi strumenti come Mimikatz per estrarre hash o ticket dalla memoria. Passano queste credenziali rubate ad altri sistemi per l'autenticazione, consentendo il movimento laterale attraverso le reti. Gli attacchi sfruttano le credenziali memorizzate nella cache negli ambienti SSO di Windows.

Le organizzazioni che utilizzano l'autenticazione NTLM di Windows sono le più vulnerabili, in particolare quelle con implementazioni SSO. I sistemi senza autenticazione a più fattori o gestione degli accessi privilegiati sono esposti a rischi maggiori. Qualsiasi ambiente Windows che memorizza credenziali con hash nella memoria può essere preso di mira. I lavoratori remoti e i sistemi con privilegi amministrativi sono gli obiettivi principali.

Eseguire la scansione dei registri eventi di Windows alla ricerca di modelli di autenticazione Kerberos insoliti e di più utenti provenienti da singoli indirizzi IP. Utilizza strumenti di sicurezza per rilevare un utilizzo anomalo dei ticket e implementa la segmentazione della rete.

Implementa piattaforme di rilevamento degli endpoint come SentinelOne e monitora strumenti come Mimikatz. Abilita la registrazione completa degli eventi di autenticazione e implementa l'analisi comportamentale.

Monitorare i registri degli eventi di sicurezza di Windows per il tipo di accesso 3 con modelli di autenticazione insoliti. Cercare autenticazioni riuscite senza corrispondenti modifiche della password o accessi di rete imprevisti. Utilizzare soluzioni SIEM per correlare gli eventi di autenticazione e rilevare movimenti laterali. È inoltre consigliabile utilizzare honey token e tecniche di inganno per catturare gli aggressori che utilizzano credenziali rubate.

Scopri di più su Informazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Che cos'è l'ingegneria del rilevamento?Informazioni sulle minacce

Che cos'è l'ingegneria del rilevamento?

Questa guida spiega l'ingegneria di rilevamento, coprendone la definizione, lo scopo, i componenti chiave, le best practice, la rilevanza del cloud e il ruolo nel migliorare la visibilità e la protezione delle minacce in tempo reale.

Per saperne di più
Che cos'è un honeypot? Definizione, tipi e utilizziInformazioni sulle minacce

Che cos'è un honeypot? Definizione, tipi e utilizzi

Scopri cos'è un honeypot in questa guida completa. Impara a conoscerne i tipi, i vantaggi e le tecniche di implementazione. Esplora esempi reali, sfide e suggerimenti per la sicurezza degli honeypot per le aziende.

Per saperne di più
Analisi del modello Cyber Kill Chain e come funziona?Informazioni sulle minacce

Analisi del modello Cyber Kill Chain e come funziona?

Comprendere i diversi processi della catena di uccisione informatica. Scoprire cos'è una catena di uccisione informatica, come funziona e come si confronta con il framework MITRE ATT&CK.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo