s0122-pass-the-hash-toolkit

# Pass-The-Hash Toolkit > Tipo: **tool** · S0122 · [MITRE ATT&CK](https://attack.mitre.org/software/S0122) ## Descrição [[s0122-pass-the-hash-toolkit|Pass-The-Hash Toolkit]] é um conjunto de ferramentas que implementa a técnica Pass-the-Hash (PtH), permitindo que um adversário utilize o hash NTLM de uma senha para autenticar-se em serviços Windows sem precisar conhecer a senha original em texto claro. A técnica explora o protocolo de autenticação NTLM do Windows, onde o hash da senha funciona como prova de identidade. Originalmente desenvolvido para pesquisa de segurança, o toolkit foi amplamente adotado por operadores ofensivos para movimento lateral em redes Windows. Após obter hashes de credenciais via [[mimikatz|Mimikatz]], [[s0006-pwdump|pwdump]] ou [[s0005-windows-credential-editor|WCE]], o atacante usa o Pass-The-Hash Toolkit para autenticar-se em outros sistemas da rede sem precisar quebrar os hashes. O grupo [[g0006-apt1|APT1]] (Comment Crew, China) utilizou esta toolkit extensivamente em operações de espionagem industrial documentadas pelo relatório Mandiant de 2013, que foram marco histórico na atribuição de APTs. A técnica é particularmente eficaz em ambientes corporativos onde a mesma senha de administrador local (LAPS não configurado) ou credenciais de contas de serviço são reutilizadas em múltiplos sistemas. A implantação do Microsoft LAPS (Local Administrator Password Solution) e a segmentação de rede são as mitigações mais eficazes contra ataques PtH. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1550-002-pass-the-hash|T1550.002 - Pass the Hash]] ## Grupos que Usam - [[g0006-apt1|APT1]] ## Detecção **Fontes de dados recomendadas:** - **Windows Security Event ID 4624:** Logon tipo 3 (rede) com campo `Authentication Package = NTLM` e `Logon Process = NtLmSsp` de conta privilegiada para múltiplos hosts em curto intervalo - padrão de PtH - **Windows Security Event ID 4648:** Logon com credenciais explícitas onde a conta de origem e destino diferem (cross-account lateral movement) - **Sysmon Event ID 3 (NetworkConnect):** Múltiplas conexões SMB (porta 445) de um único host para vários outros em sequência rápida **Regras de detecção:** - Sigma: `win_security_pass_the_hash.yml` - detecta padrão de autenticação NTLM tipo 3 com indicadores de PtH (SigmaHQ) - Microsoft Sentinel: Analytic Rule "Pass-the-Hash Activity" baseada em correlação de Event ID 4624 Tipo 3 + NTLM ## Relevância LATAM/Brasil A técnica Pass-the-Hash continua sendo amplamente utilizada em ataques a redes corporativas brasileiras, especialmente em ambientes com LAPS não configurado e reutilização de senha de administrador local. Grupos de ransomware ativos no Brasil, incluindo afiliados de LockBit, Akira e Play, utilizam PtH (via [[mimikatz|Mimikatz]] ou ferramentas similares) para movimento lateral rápido entre workstations e servidores antes de implantar o ransomware. A prevalência de ambientes Windows não atualizados e sem segmentação adequada em PMEs brasileiras amplifica o risco desta técnica. ## Referências - [MITRE ATT&CK - S0122](https://attack.mitre.org/software/S0122)