det0409-detection-strategy-for-t1550002-pass-the-hash-windows

# DET0409 — Detection Strategy for T1550.002 - Pass the Hash (Windows) ## Descrição Pass-the-Hash (PtH) é uma técnica de movimento lateral em que o adversário utiliza o hash NTLM de uma credencial comprometida para autenticar em sistemas remotos sem precisar conhecer a senha em texto claro. O hash é extraído da memória do processo LSASS ou de arquivos SAM/NTDS.dit e passado diretamente para protocolos de autenticação Windows como SMB, WMI, WinRM ou RDP (com credenciais restritas desabilitadas). A detecção de PtH no Windows baseia-se primariamente em anomalias nos logs de autenticação. O Event ID 4624 com Logon Type 3 (rede) e `AuthenticationPackageName: NTLM` combinado com `LogonProcessName: NtLmSsp` para contas que normalmente usam Kerberos é um forte indicador. Adicionalmente, autenticações bem-sucedidas de uma conta para múltiplos hosts em curto intervalo — padrão de lateral movement scan — amplificam a confiança do alerta. Ferramentas como [[mimikatz]], [[s0357-impacket]] e [[s0154-cobalt-strike]] são amplamente utilizadas para executar PtH. A implementação de Credential Guard e Protected Users Security Group no Windows reduz a superfície de ataque, mas não elimina completamente o risco em ambientes com sistemas legados. Grupos como [[g0016-apt29]] e operadores de ransomware frequentemente empregam PtH como técnica central de movimento lateral. ## Indicadores de Detecção - Event ID 4624 (Logon Type 3) com `NTLM` como pacote de autenticação para contas de domínio - Mesma conta autenticando em múltiplos hosts distintos em janela de minutos - Origem de autenticação a partir de estações de trabalho (não servidores de autenticação) - Event ID 4648 (logon com credenciais explícitas) combinado com acesso a shares administrativos (`ADMIN

, `C

) - Processo `lsass.exe` com acesso de leitura por ferramentas não-EDR (Event ID 10 do Sysmon) ## Técnicas Relacionadas - [[T1550002-pass-the-hash|T1550.002 — Pass the Hash]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1569-system-services|T1569 — System Services]] ## Analytics Relacionadas - [[an1144-analytic-1144|AN1144 — Analytic 1144]] --- *Fonte: [MITRE ATT&CK — DET0409](https://attack.mitre.org/detectionstrategies/DET0409)*