Wat zijn Pass-the-Hash (PtH) en Pass-the-Ticket (PtT)?

Pass-the-Hash (PTH) en Pass-the-Ticket (PTT) aanvallen zijn technieken die worden gebruikt om authenticatieprotocollen te misbruiken. In deze gids wordt uitgelegd hoe deze aanvallen werken, wat de gevolgen zijn voor de veiligheid en welke strategieën er zijn om ze te voorkomen.

Lees meer over het belang van het beveiligen van inloggegevens en het monitoren van verdachte activiteiten. Inzicht in PTH- en PTT-aanvallen is essentieel voor organisaties om hun systemen te beschermen.

Organisaties moeten strenge toegangscontroles implementeren, geavanceerde tools voor dreigingsdetectie en -monitoring gebruiken en beveiligingsprotocollen regelmatig bijwerken om deze heimelijke tactieken te dwarsbomen. Op die manier kunnen ze zich beter verdedigen tegen de aanhoudende en steeds veranderende bedreigingen van PtH en PtT, en hun gevoelige gegevens en netwerkintegriteit beschermen.

Het verschil tussen Pass-the-Hash (PtH) en Pass-the-Ticket (PtT)

PtH en PtT zijn beide kwaadaardige technieken die worden gebruikt in cyberbeveiliging, maar ze verschillen in hun focus en uitvoering, terwijl ze gemeenschappelijke kenmerken hebben. Zowel PtH als PtT worden gebruikt in:

• Authenticatieaanvallen – Zowel PtH als PtT zijn op authenticatie gebaseerde aanvallen, gericht op de mechanismen die worden gebruikt om de identiteit van gebruikers of systemen in een netwerk te verifiëren.
• Laterale beweging – Beide aanvallen maken laterale beweging binnen een netwerk mogelijk. Zodra de eerste toegang is verkregen, gebruiken aanvallers gestolen inloggegevens (hashes of tickets) om zich lateraal te verplaatsen en toegang te krijgen tot andere systemen of bronnen.
• Detectieontwijking – PtH- en PtT-aanvallen zijn van nature heimelijk omdat ze vaak geen wachtwoorden in leesbare tekst hoeven te verkrijgen, waardoor ze moeilijker te detecteren zijn.

PtH en PtT verschillen op de volgende belangrijke punten:

• Doelen – PtH richt zich voornamelijk op het stelen van gehashte wachtwoorden uit gecompromitteerde systemen, terwijl PtT zich richt op het stelen en misbruiken van authenticatietickets binnen Windows-domeinomgevingen.
• Inloggegevens – Bij PtH gebruiken aanvallers gestolen wachtwoord-hashes voor authenticatie, terwijl ze bij PtT misbruik maken van Kerberos-tickets die zijn gegenereerd voor gebruikers- of serviceauthenticatie.
• Reikwijdte – PtH-aanvallen hebben een bredere reikwijdte, omdat ze zich kunnen richten op verschillende platforms en systemen buiten Windows-domeinen. PtT-aanvallen zijn meer specifiek gericht op Windows-domeinomgevingen.

Zowel PtH als PtT zijn gevaarlijke tactieken voor laterale bewegingen en privilege-escalatie bij cyberaanvallen. Hoewel ze hetzelfde doel hebben, namelijk het compromitteren van authenticatie, houdt PtH het stelen van wachtwoord-hashes in, terwijl PtT zich richt op het misbruiken van authenticatietickets binnen Windows-domeinen. Inzicht in de verschillen en overeenkomsten tussen deze technieken is essentieel voor effectieve cyberbeveiliging en incidentrespons.

Een kort overzicht van Pass-the-Hash (PtH) & Pass-the-Ticket (PtT)

PtH- en PtT-aanvallen kwamen voor het eerst onder de aandacht in de jaren negentig, toen cybercriminelen en beveiligingsonderzoekers de inherente zwakke punten begonnen te herkennen in de manier waarop Windows-besturingssystemen omgaan met authenticatiegegevens. PtH kwam naar voren als een techniek om gehashte wachtwoordgegevens uit gecompromitteerde systemen te extraheren. Aanvallers konden deze gehashte waarden vervolgens hergebruiken om zich op andere systemen te authenticeren, waardoor ze in feite de noodzaak van wachtwoorden in leesbare tekst konden omzeilen.

PtT richt zich daarentegen voornamelijk op Windows-omgevingen die gebruikmaken van het Kerberos-authenticatieprotocol. Het omvat de diefstal en het misbruik van authenticatietickets, die worden gegenereerd tijdens gebruikers- of serviceauthenticatie. Aanvallers maken misbruik van tekortkomingen in het Kerberos-ticketsysteem, waardoor ze zich kunnen voordoen als legitieme gebruikers of services en ongeoorloofde toegang kunnen krijgen tot systemen en bronnen.

In het huidige cyberbeveiligingslandschap blijven PtH- en PtT-aanvallen een grote bedreiging vormen. Aanvallers hebben deze technieken verfijnd en geïntegreerd in geavanceerde persistente bedreigingen (APT)-campagnes en ransomware-aanvallen, waarbij ze vaak misbruik maken van kwetsbaarheden in de netwerkbeveiliging of social engineering-tactieken gebruiken om initiële toegang te verkrijgen. Eenmaal binnen een netwerk gebruiken ze PtH- en PtT-aanvallen voor laterale bewegingen, privilege-escalatie en gegevensdiefstal.

Het belang van PtH- en PtT-aanvallen wordt onderstreept door hun vermogen om traditionele beveiligingsmaatregelen te omzeilen en detectie te ontwijken door gebruik te maken van gehashte inloggegevens en authenticatietickets. Om u tegen deze aanvallen te verdedigen, is een meervoudige aanpak nodig, waaronder een sterk wachtwoordbeleid, regelmatige beveiligingsupdates, robuuste toegangscontroles en geavanceerde systemen voor dreigingsdetectie.

Begrijpen hoe Pass-the-Hash (PtH) en Pass-the-Ticket (PtT) werken

PtH en PtT zijn geavanceerde en kwaadaardige tactieken die worden gebruikt in cyberbeveiliging, met name binnen Windows-omgevingen, om ongeoorloofde toegang en privilege-escalatie mogelijk te maken. Deze technieken zijn oorspronkelijk ontwikkeld als geheime methoden om Windows-authenticatiesystemen te compromitteren en zijn sindsdien uitgegroeid tot hardnekkige bedreigingen in het cyberbeveiligingslandschap.

PtH- en PtT-aanvallen zijn technieken die door aanvallers worden gebruikt om ongeoorloofde toegang te krijgen tot systemen en bronnen binnen een netwerk. NTLM (NT LAN Manager) is vaak een doelwit van deze aanvallen vanwege de inherente kwetsbaarheden ervan. Hier volgt een gedetailleerde technische uitleg over hoe deze technieken werken:

Pass-the-Hash (PtH)

• Initieel diefstal van inloggegevens – PtH-aanvallen beginnen doorgaans met het verkrijgen van initiële toegang tot een Windows-systeem door de aanvaller, vaak via methoden zoals phishing, malware-infectie of het misbruiken van kwetsbaarheden in software. Eenmaal binnen het systeem is het doel van de aanvaller om gehashte wachtwoordgegevens te stelen die lokaal op het systeem zijn opgeslagen. Windows slaat gehashte weergaven van wachtwoorden op in het geheugen om authenticatie te vergemakkelijken zonder het wachtwoord in leesbare tekst te onthullen.
• Hash Capture – Aanvallers gebruiken verschillende tools en technieken om de gehashte wachtwoordgegevens uit het geheugen van het systeem te halen. Een veelgebruikte tool is Mimikatz, waarmee inloggegevens uit Windows-systemen kunnen worden opgehaald.
• Hashgebruik – Met de buitgemaakte wachtwoordhash hoeft de aanvaller het daadwerkelijke wachtwoord in leesbare tekst niet te kennen. In plaats daarvan gebruiken ze deze hash rechtstreeks bij authenticatiepogingen.
• De aanvaller stuurt de gestolen hash naar een doelsysteem waartoe hij toegang wil krijgen, waarbij hij zich voordoet als een legitieme gebruiker. Het doelsysteem hasht vervolgens het door de aanvaller verstrekte wachtwoord en vergelijkt dit met de opgeslagen hash voor authenticatie.
• Toegang verkregen – Als de hashes overeenkomen, krijgt de aanvaller ongeoorloofde toegang tot het doelsysteem of de doelbron, waardoor hij in feite het wachtwoord in leesbare tekst van het slachtoffer omzeilt.
• Aanvallers gebruiken deze toegang vaak om zich lateraal binnen het netwerk te verplaatsen, privileges te escaleren en toegang te krijgen tot gevoelige gegevens.

Pass-the-Ticket (PtT)

• Kerberos-authenticatie – PtT-aanvallen zijn voornamelijk gericht op Windows-omgevingen die gebruikmaken van het Kerberos-authenticatieprotocol. Kerberos wordt vaak gebruikt in Active Directory (AD)-omgevingen voor eenmalige aanmelding en veilige authenticatie.
• Aanmaken van een eerste ticket – Wanneer een gebruiker zich aanmeldt bij een Windows-systeem, genereert het Kerberos-authenticatieproces een Ticket Granting Ticket (TGT) voor de gebruiker, versleuteld met een langdurig geheim (meestal de wachtwoordhash van de gebruiker) die alleen bekend is bij de gebruiker en het Key Distribution Center (KDC).
• Ticketuitwinning – Bij een PtT-aanval probeert de aanvaller deze TGT te bemachtigen uit het geheugen van een gecompromitteerd systeem waartoe hij in eerste instantie toegang heeft gekregen.
• De aanvaller gebruikt tools zoals Mimikatz om TGT's uit het geheugen te extraheren.
• Ticketgebruik – Met de gestolen TGT in handen kan de aanvaller zich voordoen als de legitieme gebruiker die aan de TGT is gekoppeld. De aanvaller presenteert de TGT aan de KDC wanneer hij servicetickets voor specifieke bronnen aanvraagt.
• Aanvraag van servicetickets – De KDC, die het TGT vertrouwt, geeft servicetickets uit voor de bronnen die de aanvaller aanvraagt. Deze servicetickets worden versleuteld met een sessiesleutel die is afgeleid van het TGT.
• Toegang tot bronnen – Gewapend met geldige servicetickets heeft de aanvaller toegang tot netwerkbronnen en -systemen alsof hij de legitieme gebruiker is. Hierdoor kan hij zich lateraal binnen het netwerk verplaatsen en mogelijk andere systemen compromitteren.

Zowel PtH- als PtT-aanvallen zijn bijzonder zorgwekkend omdat ze aanvallers in staat stellen te opereren zonder het wachtwoord van het slachtoffer te kennen. Om deze aanvallen te beperken is een meervoudige aanpak nodig, waaronder een sterk wachtwoordbeleid, regelmatige beveiligingsupdates, robuuste toegangscontroles en geavanceerde dreigingsdetectie systemen. Daarnaast moeten organisaties letten op tekenen van diefstal van inloggegevens en ongebruikelijke authenticatieactiviteiten om PtH- en PtT-aanvallen snel te detecteren en erop te reageren.

Om zich te beveiligen tegen de risico's die gepaard gaan met PtH- en PtT-aanvallen, nemen bedrijven verschillende maatregelen:

• Sterke authenticatie – Gebruik van multi-factor authenticatie (MFA) en twee-factor authenticatie (2FA) zorgt voor een extra beveiligingslaag bovenop wachtwoorden.
• Toegang met minimale rechten – Door de toegangsrechten en privileges van gebruikers te beperken, kan de schade die kan worden veroorzaakt door gecompromitteerde inloggegevens worden beperkt.
• Privileged Access Management (PAM) – PAM-oplossingen helpen bij het beheren, bewaken en beveiligen van geprivilegieerde accounts en toegang.
• Netwerksegmentatie – Door kritieke systemen te isoleren van minder kritieke systemen kan laterale beweging binnen een netwerk worden beperkt.
• Regelmatige rotatie van inloggegevens – Het implementeren van beleid dat vereist dat wachtwoorden regelmatig worden gewijzigd, helpt de kans op PtH- en PtT-aanvallen te verkleinen.
• Training in beveiligingsbewustzijn – Het is essentieel om werknemers voor te lichten over de risico's van PtH- en PtT-aanvallen en het belang van een goede wachtwoordhygiëne.
• Inbraakdetectiesystemen – Het gebruik van geavanceerde inbraakdetectiesystemen kan helpen bij het detecteren en blokkeren van PtH- en PtT-pogingen.

Conclusie

Pass-the-Hash (PtH)- en Pass-the-Ticket (PtT)-aanvallen vormen een voortdurende bedreiging in de huidige digitale wereld. Deze technieken, die vaak gericht zijn op authenticatieprotocollen zoals NTLM en Kerberos, benadrukken het evoluerende karakter van cyberaanvallen en de noodzaak van voortdurende waakzaamheid.

PtH en PtT maken misbruik van kwetsbaarheden in authenticatiemechanismen, waardoor aanvallers heimelijk netwerken kunnen infiltreren, zich lateraal kunnen verplaatsen, privileges kunnen escaleren en ongeoorloofde toegang kunnen krijgen tot gevoelige systemen en gegevens. De gevolgen kunnen zeer ernstig zijn, variërend van datalekken en financiële verliezen tot reputatieschade.

PtH- en PtT-aanvallen herinneren ons er op pijnlijke wijze aan dat het cyberbeveiligingslandschap een veranderend strijdtoneel is. Om zich tegen deze bedreigingen te beschermen, moeten individuen en organisaties waakzaam blijven, proactieve beveiligingsmaatregelen nemen en samenwerken met cyberbeveiligingsexperts. PtH- en PtT-aanvallen voorblijven is niet alleen belangrijk, het is de sleutel tot het beschermen van de digitale wereld tegen meedogenloze tegenstanders.

Pass The Hash Vs Pass The Ticket FAQ's