Pass-the-Hash-Angriff erklärt: Wie Angreifer Anmeldungen umgehen

Glossar zur cybersicherheit Angriffskatalog

Verstehen von Pass-the-Hash (PtH)-Angriffen

Pass-the-hash (PtH) ist eine Technik zum Diebstahl von Anmeldeinformationen, bei der ein Angreifer NTLM-Passworthashes aus dem Speicher oder der Festplatte erfasst und diese wiedereinsetzt, um sich bei Netzwerkdiensten zu authentifizieren, ohne das Klartextpasswort zu kennen. Der Angriff nutzt das auf Hashes basierende Authentifizierungsmodell von NTLM aus und ermöglicht laterale Bewegungen, Privilegienerweiterungen und die Kompromittierung der Domäne. Werkzeuge wie Mimikatz automatisieren das Extrahieren und Wiedereinsetzen von Hashes. Effektiver Schutz kombiniert das Deaktivieren von NTLM, die Isolierung von Anmeldeinformationsspeichern, den Einsatz von Privileged Access Management und die Überwachung anomaler Authentifizierungsmuster.

Pass-the-hash ist ein Angriff, bei dem ein Angreifer das gehashte Passwort eines Benutzers (NTLM/LM-Hash) von einem Computer stiehlt und es verwendet, um sich an anderen Systemen zu authentifizieren.

Attribute	Details
Attack type	Credential theft and lateral movement
Impact level	High / Critical
Target	Windows/NTLM environments, domain controllers, privileged accounts
Primary attack vector	Credential dumping (LSASS, SAM, NTDS.dit, challenge–response sniffing)
Motivation	Financial gain, espionage, persistence
Common prevention methods	MFA, PAM, Credential Guard, disable NTLM, LSASS protection, EDR/XDR

Risk factor	Level
Potential damage	Critical
Ease of execution	Moderate
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Moderate

Likelihood

High

Besorgt über Pass-the-Hash-Angriffe in Ihrer Umgebung?

Sprechen Sie mit unseren Experten, um zu erfahren, wie Sie Anmeldeinformationen-Diebstahl erkennen, laterale Bewegungen stoppen und privilegierte Konten schützen.

Was ist ein Pass-the-Hash-Angriff?

Ein Pass-the-Hash-Angriff tritt auf, wenn ein Angreifer das gehashte Passwort eines Benutzers (zum Beispiel einen NTLM-Hash) von einem kompromittierten Rechner stiehlt und diesen Hash wiederverwendet, um sich bei anderen Systemen zu authentifizieren, ohne das Klartext-Passwort zu benötigen. Viele Windows-Authentifizierungsprozesse akzeptieren einen Hash anstelle eines Passworts, sodass der Angreifer den Benutzer nachahmen kann, bis die Anmeldeinformationen des Kontos geändert oder der Hash ungültig gemacht wird.

Dieser Angriff nutzt Schwachstellen in den Windows-Authentifizierungsprotokollen aus, insbesondere NTLM. NTLM und das ältere LM-Protokoll verwenden hashbasierte Authentifizierungsmethoden, die einen gültigen Hash anstelle eines Klartextpassworts akzeptieren. LM ist kryptografisch schwach (leicht zu knacken) und NTLM erlaubt die Wiederverwendung desselben Hashes über Netzwerkdienste hinweg.

Pass-the-hash ist in Windows-Umgebungen üblich. Linux-Rechner, die Active Directory beigetreten sind, Samba-Dateiserver oder Dienste, die NTLM/Kerberos unterstützen, können gestohlene Hashes und wiederverwendete Anmeldeinformationen akzeptieren. Hybrid-Cloud- und AD-Entra ID-Synchronisierungskonfigurationen sind ebenfalls anfällig, insbesondere wenn NTLM-Authentifizierung oder Legacy-Kompatibilität aktiviert sind. Sobald ein Angreifer Zugriff auf ein System erhält und Anmeldeinformationen aus dem Speicher oder der Festplatte extrahiert, kann er den Hash „weitergeben“, um sich seitlich zu bewegen, Privilegien zu erhöhen und sogar Domänencontroller zu kompromittieren.

Wie funktioniert ein Pass-the-Hash-Angriff?

Ein Pass-the-Hash-Angriff folgt einer einfachen Kette, vom ersten Eindringen eines Angreifers bis hin zum Erreichen hochrangiger Ziele. Hier sind die häufigen Phasen und was in jeder passiert.

Erstzugang

Der Angreifer verschafft sich einen Einstiegspunkt ins Netzwerk durch Phishing, das Einschleusen von Malware, Ausnutzung eines verwundbaren Dienstes oder die Verwendung gestohlener Zugangsdaten. Dieser Fuß in der Tür auf einem Benutzerrechner oder Server ermöglicht es ihm, Code auszuführen oder Speicher auf einem Zielhost zu lesen.

Hash-Ernte

Sobald sie auf einem Host sind, extrahiert der Angreifer Anmeldeinformationen (Hashes oder andere Authentifizierungsartefakte) vom kompromittierten Host oder der Domäne. Sie zielen auf Systemspeicher (die lokale SAM-Datenbank oder eine exportierte NTDS.dit), im Speicher befindliche Prozesse, die Anmeldeinformationen zwischenspeichern (Live-LSASS-Speicherauszüge), oder verwenden Replikation/AD-Missbrauch (wie DCSync), um Kontodaten abzurufen. Sie können auch den Netzwerkverkehr abhören, wenn veraltete Challenge-Response-Protokolle verwendet werden.

Authentifizierung mit dem gestohlenen Hash

Der Angreifer verwendet den erfassten Hash erneut, um sich bei SMB, RPC oder anderen Diensten zu authentifizieren, die NTLM (oder ähnliche) Authentifizierung akzeptieren, und gibt sich effektiv als das Konto aus, ohne den Hash zu knacken. Häufig verwendete Tools für diese Wiederholung sind Mimikatz, Invoke-TheHash, Sharp-SMBExec und offensive Frameworks wie Cobalt Strike.

Laterale Bewegung

Mit dem gestohlenen Hash bewegt sich der Angreifer vom ursprünglichen Host zu anderen Rechnern. Sie verwenden Fernverwaltungsmechanismen (SMB-Freigaben, PsExec-ähnliche Remote-Ausführung, WMIC, geplante Aufgaben oder integrierte Admin-Tools), um weitere Maschinen zu erreichen und mehr Anmeldedaten zu sammeln. Sie nutzen auch Token-Diebstahl und Nachahmung, um als andere Benutzer zu agieren. So erweitern sie ihre Kontrolle über das Netzwerk und vermischen sich mit legitimen administrativen Aktivitäten.

Privilegieneskalation

Mit lateralem Zugriff zielen Angreifer auf Konten mit höheren Berechtigungen ab (service accounts, domain admins und integrierte hochprivilegierte SIDs wie RID-500), missbrauchen Fehlkonfigurationen (überprivilegierte service accounts, exponierte Credential Stores) und nutzen verwundbare Dienste aus, um Admin-Level-Hashes zu erhalten. Dies verschafft ihnen eine breitere Kontrolle und reduziert die Notwendigkeit, Anmeldeinformationen wiederholt zu stehlen.

Beständigkeit und Ziele

Nachdem Angreifer privilegierte Positionen erlangt haben, etablieren sie Persistenz (Backdoors, geplante Aufgaben, geänderte Dienstkonten), um auch nach Neustarts und Passwortänderungen im System zu bleiben. Sie sind nun in der Lage, Ziele wie Datendiebstahl, Ransomware-Einsätze und langfristige Spionage zu verfolgen.

Netwrix-Support

Tools wie Netwrix Auditor und Netwrix Threat Manager können dabei helfen, Pass-the-Hash-Aktivitäten zu erkennen, indem sie Authentifizierungs- und Zugriffsmuster kontinuierlich überwachen. Sie identifizieren Anomalien wie unerwartete NTLM-Anmeldungen, Privilegieneskalationen und ungewöhnlichen Zugriff auf sensible Prozesse wie LSASS. Durch die Korrelation dieser Ereignisse und Echtzeitwarnungen können Organisationen potenzielle laterale Bewegungen schnell untersuchen und eindämmen.

Angriffsablaufdiagramm

Sehen wir uns einen einfachen visuellen Ablauf des Pass-the-Hash-Angriffs und eine Beispielgeschichte aus der Perspektive einer Organisation an, die zeigt, wie der Angriff mit einer Netzwerkinfiltration beginnt, die zu einer Eskalation der Privilegien und Persistenz führt.

Bei Archie Corp öffnet ein Mitarbeiter einen bösartigen Rechnung-Anhang, wodurch der Angreifer einen ersten Zugang zum Netzwerk erhält. Der Angreifer führt einen Loader aus und dumpft den LSASS-Speicher, um NTLM-Hashes zu erfassen. Mit diesen Hashes authentifiziert er sich an einem internen Dateiserver über SMB und führt PsExec aus, um weitere Hosts zu erreichen. Von einem Jump-Host aus findet er ein Dienstkonto mit hohen Rechten und verwendet dessen Hash erneut, um auf einen Domänencontroller zuzugreifen. Der Angreifer legt eine geplante Aufgabe zur Persistenz an und exfiltriert sensible Dateien, bevor er Ransomware einsetzt.

Beispiele für Pass-the-Hash-Angriffe

Pass-the-Hash-Angriffe treten wiederholt bei realen Eindringversuchen auf. Hier sind einige tatsächliche Beispiele, die zeigen, wie diese Technik in Ransomware- und gezielten Kampagnen erscheint.

Case	Impact
Hive ransomware (2022)	In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks. Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload. A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”
HSE Conti ransomware attack (2021)	On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide. After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites. Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.
NotPetya (June 2017)	On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Case

Impact

Hive ransomware (2022)

In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks.

Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload.

A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”

HSE Conti ransomware attack (2021)

On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide.

After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites.

Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.

NotPetya (June 2017)

On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Folgen von Pass-the-Hash-Angriffen

Pass-the-Hash-Angriffe können weitreichende Folgen haben, da sie Angreifern Administratorzugriff gewähren. Der Schaden beschränkt sich nicht nur auf technische Auswirkungen. Er betrifft Finanzen, Geschäftskontinuität, Kundenvertrauen und sogar die Einhaltung von Vorschriften.

Impact area	Description
Financial	Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.
Operational	By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.
Reputational	Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.
Legal/regulatory	Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Impact area

Description

Financial

Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.

Operational

By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.

Reputational

Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.

Legal/regulatory

Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Häufige Ziele eines Pass-the-Hash-Angriffs: Wer ist gefährdet?

Pass-the-Hash-Angriffe sind am effektivsten gegen Systeme, die wiederverwendbare Authentifizierungs-Hashes speichern, verarbeiten oder akzeptieren. Einige häufige Ziele werden unten erläutert.

Active Directory-Umgebungen

Viele Active Directory-Umgebungen unterstützen noch Legacy-Authentifizierung wie NTLM und verfügen über eine große Anzahl privilegierter Konten und Dienste. Ältere Authentifizierungsmethoden sowie viele miteinander verbundene Vertrauensstellungen machen AD-Wälder zu hochrangigen Zielen, da ein einziger kompromittierter Host viele Konten offenlegen kann.

Domänencontroller und Windows-Server

Domänencontroller und andere Windows-Server speichern und verarbeiten NTLM-Hashes, LSASS-zwischengespeicherte Anmeldeinformationen und andere Verzeichnisdaten, was sie zu Hauptzielen macht. Wenn ein Angreifer eine dieser Maschinen kompromittiert, kann er diese Geheimnisse ernten und schnell eskalieren.

Privilegierte Konten

Domänenadministratoren, Dienstkonten und integrierte hochprivilegierte SIDs (z. B. RID-500/lokaler Administrator) bieten laterale Reichweite und Kontrolle. Durch das Erfassen der Anmeldeinformationen dieser Konten können Angreifer sie imitieren und domänenweite Aktionen ausführen.

Fehlkonfigurierte Systeme

Systeme mit gemeinsam genutzten Administratorpasswörtern, schlechter GPO-Durchsetzung und zwischengespeicherten/gespeicherten Anmeldeinformationen (einschließlich Dienstkonten, die in Skripten und Konfigurationsdateien eingebettet sind) senken die Barriere für Pass-the-Hash-Angriffe erheblich. Schwache Richtlinien und die Wiederverwendung von Anmeldeinformationen verschlimmern die Auswirkungen eines Verstoßes.

Hybride/Cloud-Umgebungen

In gemischten lokalen und Cloud-Umgebungen können Angreifer Pass-the-Hash mit Pass-the-Ticket oder Kerberoasting kombinieren, um AD-verbundene Linux-Hosts, Samba-Server und mit Entra ID synchronisierte Identitäten anzugreifen. Diese hybriden Setups erweitern die Angriffsfläche und machen den Identitätsschutz komplexer.

Risikobewertung

Pass-the-hash ist ein hochriskanter Angriff, da er Angreifern die Möglichkeit gibt, Benutzer zu imitieren und die vollständige Kontrolle über eine Active Directory-Domäne mit privilegierten Anmeldeinformationen zu übernehmen.

Risk factor	Level
Potential damage	Critical A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.
Ease of execution	Moderate Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.
Likelihood	High Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Risk factor

Level

Potential damage

Critical
A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.

Ease of execution

Moderate
Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.

Likelihood

High
Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Wie man Pass-the-Hash-Angriffe verhindert

Pass-the-Hash-Angriffe nutzen schwache Authentifizierungspraktiken und übermäßige Berechtigungen aus. Um sie zu verhindern, müssen Organisationen die Offenlegung von Anmeldeinformationen reduzieren, Administratorrechte einschränken und Anzeichen von Missbrauch genau beobachten. Die folgenden bewährten Methoden können helfen.

Härtung von Anmeldeinformationen und Authentifizierung

Deaktivieren oder schrittweise auslaufen lassen von NTLM, wo immer möglich, und erzwingen Sie die Kerberos-basierte Authentifizierung. NTLM ist veraltet und deutlich anfälliger für Missbrauch.
Wenn NTLM weiterhin benötigt wird, beschränken Sie es auf NTLMv2 für einen stärkeren kryptografischen Schutz.
Aktivieren Sie Windows Defender Credential Guard, um LSASS zu isolieren und Anmeldeinformationen vor Diebstahl zu schützen.
Aktivieren Sie den LSA-Schutz (RunAsPPL), um zu verhindern, dass nicht vertrauenswürdige Prozesse den LSASS-Speicher lesen.
Deaktivieren Sie WDigest, damit Klartext-Passwörter nicht im Speicher zwischengespeichert werden.

Kontrollen für privilegierten Zugriff

Wenden Sie das Prinzip der geringsten Rechte (PoLP) an. Benutzer sollten nur den Zugriff haben, den sie wirklich benötigen, und keine unnötigen Administratorrechte.
Verwenden Sie just-in-time (JIT) und Just Enough Administration (JEA), um temporäre Administratorrechte für bestimmte Aufgaben zu gewähren.
Randomisieren Sie lokale Administratorpasswörter mit Microsoft LAPS oder LAPS2, um die Wiederverwendung von Anmeldeinformationen zu verhindern.
Verwenden Sie lokale Administratorpasswörter niemals auf mehreren Computern erneut.
Fügen Sie sensible und wertvolle Konten zur Gruppe Protected Users hinzu.

Identitäts- und Kontosicherheit

Implementieren Sie Privileged Access Management (PAM) oder einen Passwort-Tresor, um privilegierte Anmeldeinformationen zu kontrollieren und zu prüfen.
Ersetzen Sie statische Dienstkonten durch gruppenverwaltete Dienstkonten (gMSAs).
Erzwingen Sie eine regelmäßige und automatische Passwortrotation für alle wertvollen Konten.
Erfordern Sie eine Multi-Faktor-Authentifizierung (MFA) für den Remote- und privilegierten Zugriff.
Führen Sie kontinuierlich Audits privilegierter Konten durch, um inaktive und veraltete zu entfernen.

Netzwerk- und Protokollabwehr

Blockieren Sie SMB/RPC-Verkehr von Arbeitsplatz zu Arbeitsplatz, um laterale Bewegungen zu verhindern. Dies können Sie durch Durchsetzung der Ost-West-Segmentierung erreichen, z. B. durch Firewall-Regeln oder Host-Firewall-Richtlinien, die SMB/RPC zwischen Endpunkten verweigern.
Aktivieren Sie SMB-Signierung und -Verschlüsselung für eine stärkere Sitzungsintegrität.
Verwenden Sie Remote Credential Guard, um Anmeldeinformationen während RDP-Sitzungen zu schützen.
Segmentieren Sie Administrator-Konten nach Ebenen (zum Beispiel Ebene 0 für Domänencontroller, Ebene 1 für Server), um potenzielle Sicherheitsverletzungen einzudämmen.
Wenden Sie Anmeldebeschränkungen an, damit privilegierte Konten nur auf genehmigte Systeme zugreifen können.

IT- und Betriebshygiene

Führen Sie regelmäßig Patches durch, insbesondere für Authentifizierungs- und NTLM-bezogene Schwachstellen.
Führen Sie regelmäßige Penetrationstests und Red-Team-Übungen durch, um Ihre Verteidigung zu überprüfen.
Schulen Sie Mitarbeiter darin, Phishing-Versuche und Risiken des Diebstahls von Zugangsdaten zu erkennen.
Pflegen Sie Golden Images und unveränderliche oder Offline-Backups für eine schnelle Wiederherstellung nach Vorfällen.
Bewegen Sie sich auf ein Zero-Trust-Modell zu, bei dem Sie jeden Benutzer, jedes Gerät und jede Anfrage kontinuierlich überprüfen.

Wie Netwrix helfen kann

Pass-the-Hash-Angriffe sind mit herkömmlichen Abwehrmaßnahmen allein schwer zu stoppen, da sie gültige Anmeldeinformationen ausnutzen. Netwrix-Lösungen stärken die Identitätssicherheit, indem sie verdächtiges Authentifizierungsverhalten erkennen, privilegierten Zugriff kontrollieren und vollständige Transparenz über Kontoaktivitäten bieten.

Netwrix Threat Manager

Netwrix Threat Manager hilft dabei, PtH-Aktivitäten zu erkennen, indem Täuschung und Verhaltensanalysen kombiniert werden, um Anmeldeinformationen-Diebstahl und laterale Bewegungen zu identifizieren.

Täuschung (honeytokens): Threat Manager ermöglicht es Ihnen, honeytokens als „Köder“-Anmeldeinformationen in der Umgebung bereitzustellen. Wenn ein Angreifer versucht, diese zu verwenden oder sich damit zu authentifizieren, ist dies ein starkes Indiz für böswilliges Sammeln und Wiederverwenden von Anmeldeinformationen. Das System generiert eine Warnung zur Untersuchung.
Verhaltensanalyse und Anomalieerkennung: Das Produkt erstellt eine Basislinie für das normale Verhalten von Benutzern und Diensten und markiert dann Anomalien, die Mustern von Anmeldeinformationen-Diebstahl oder lateraler Bewegung entsprechen, z. B. Konten, die sich von Hosts authentifizieren, die sie zuvor nie verwendet haben, plötzliche Spitzen in der Anzahl der Hosts, auf die ein Konto zugreift, oder ungewöhnliche Nutzung von Admin-Tools. Diese identitätsbasierten Erkennungen werden mit AD-, Entra ID- und Dateisystemereignissen korreliert, um Fehlalarme zu reduzieren und Echtzeitwarnungen zu erzeugen.

Netwrix Privilege Secure

Privilege Secure reduziert das Risiko gestohlener und wiederverwendeter Anmeldeinformationen, indem privilegierte Konten geschützt werden. Es entfernt dauerhafte Berechtigungen, erzwingt Just-in-Time-Zugriff, bietet Credential Vaulting und überwacht privilegierte Aktivitäten. Dies verhindert, dass Angreifer gespeicherte Passwörter und Hashes missbrauchen, und erschwert Pass-the-Hash-Angriffe.

Keine dauerhaften Berechtigungen mit JIT-Zugriff: Privilege Secure erteilt erhöhte Berechtigungen nur, wenn eine Aufgabe genehmigt wird, und entzieht sie anschließend automatisch. Dadurch werden langlebige Administrator-Konten eliminiert, die Angreifer ausnutzen könnten.
Credential Vaulting: Das Produkt integriert sich mit Vaults oder kann Geheimnisse selbst verwalten. Es zentralisiert privilegierte Anmeldedaten und reduziert wiederverwendete Passwörter auf Endpunkten. Zentrales Vaulting plus automatisierte Rotation verhindert, dass Angreifer stabile Anmeldedaten finden, um diese auszulesen und erneut zu verwenden.
Sitzungsüberwachung und Audit: Privilege Secure zeichnet privilegierte Sitzungen und Aktionen (wer was wann und wie zugegriffen hat) für Audit- und forensische Zwecke auf und überwacht sie.
Granulare Rechteverwaltung und Entfernung lokaler Administratorrechte: Das Produkt ermöglicht es, lokale Administratorrechte von Benutzern zu entfernen, nur aufgabenspezifische Berechtigungen zu vergeben und den erhöhten Zugriff zentral zu verwalten.
Erkennung versteckter privilegierter Konten: Privilege Secure kann Endpunkte scannen und versteckte sowie nicht verwaltete privilegierte Konten identifizieren.

Netwrix Auditor

Auditor bietet Ihnen vollständige Transparenz über Benutzeraktivitäten und Systemänderungen. Es verfolgt Anmeldungen, Änderungen an Konten und Berechtigungen sowie Konfigurationsänderungen in Ihrer Umgebung. Alle Aktionen werden mit Informationen zu wer, was, wann und wo protokolliert. Dies erleichtert Teams die Untersuchung ungewöhnlichen Verhaltens, die Reaktion auf Vorfälle und die Einhaltung von Vorschriften.

Erkennt verdächtige Anmeldungen und NTLM-Aktivitäten: Auditor verfolgt alle erfolgreichen und fehlgeschlagenen Anmeldungen (einschließlich NTLM-Authentifizierung). Es liefert detaillierte Prüfpfade mit Anmeldezeiten, Hosts und Kontonutzung, die Teams helfen, ungewöhnliche Anmeldungen zu identifizieren, die auf Identitätsdiebstahl oder ein kompromittiertes Konto hinweisen können.
Überwacht die Nutzung privilegierter Konten: Das Produkt zeichnet auf, wenn privilegierte Konten (wie Domain Admins und Dienstkonten) außerhalb der erwarteten Systeme und Zeiten verwendet werden, und löst Warnungen aus, um Teams zu informieren.
Überwacht Änderungen an sensiblen Konten und Gruppen: Angreifer fügen nach der Verwendung von PtH häufig kompromittierte Konten zu Administratorgruppen hinzu. Auditor sendet Warnungen, wenn kritische Active Directory-Gruppen geändert werden.
Bietet forensische Prüfpfade: Detaillierte Protokolle darüber, wer wann auf was zugegriffen hat, ermöglichen es Ermittlern nachzuvollziehen, wie gestohlene Hashes verwendet wurden.

Erkennen und reagieren Sie auf Pass-the-Hash-Angriffe mit Netwrix Threat Manager. Kostenlose Testversion herunterladen.

Erkennungs-, Minderungs- und Reaktionsstrategien

Pass-the-Hash-Angriffe können unbemerkt ablaufen. Aus diesem Grund sind frühzeitige Erkennung und schnelle Reaktion entscheidend. Ihre Verteidigungstaktiken sollten Sichtbarkeit, strenge Anmeldeinformationsverwaltung und disziplinierte Reaktion kombinieren, um den Schaden solcher Angriffe zu minimieren.

Erkennung

Früherkennung hängt davon ab, subtile Authentifizierungsanomalien und Muster des Missbrauchs von Anmeldeinformationen zu erkennen.

Windows-Ereignis-IDs überwachen

Sicherheitsteams sollten die Windows-Ereignis-IDs 4624, 4625, 4648, 4672 und 4688 überwachen, um ungewöhnliche Anmeldungen, fehlgeschlagene Versuche und die Verwendung von Berechtigungen zu erkennen.

4624: Wird ausgelöst, wenn sich ein Benutzer oder Dienst erfolgreich anmeldet. Nützlich, um ungewöhnliche oder unerwartete Anmeldungen zu erkennen (wie NTLM-Netzwerkanmeldungen).
4625: Protokolliert, wenn ein Anmeldeversuch fehlschlägt.
4648: Tritt auf, wenn ein Benutzer oder Prozess versucht, sich mit expliziten Anmeldeinformationen anzumelden (z. B. runas, gemappte Laufwerke, Remoteverbindungen). Häufig bei PtH- und lateralen Bewegungsversuchen.
4672: Zeigt an, dass eine Anmeldesitzung erhöhte Berechtigungen erhalten hat.
4688: Protokolliert, wenn ein Prozess startet. Wichtig zur Erkennung verdächtiger Tools oder Skripte (wie Mimikatz, PsExec und PowerShell-Payloads).

Ungewöhnliche Zugriffsversuche auf LSASS.exe

Angreifer zielen auf den LSASS-Prozess ab, um Anmeldeinformationen aus dem Speicher auszulesen. Sysmon-Ereignis-ID 10 protokolliert direkte Zugriffsversuche auf LSASS, beispielsweise wenn Credential-Diebstahl-Tools wie Mimikatz oder Cobalt Strike versuchen, den Prozessspeicher zu lesen. Solcher Zugriff ist im normalen Betrieb selten, daher sollten wiederholte oder ungewöhnliche Zugriffsversuche auf LSASS Alarm auslösen.

Anstiege bei entfernten NTLM-Authentifizierungen

Achten Sie auf ungewöhnliche NTLM-Authentifizierungsanstiege. NTLM-Anmeldungen vom Typ 3 (Netzwerk) oder Typ 10 (Remote-Interaktiv) zeigen Authentifizierungen über SMB, RPC und RDP. Ein plötzlicher Anstieg dieser Ereignisse von einem einzelnen Konto oder Host kann auf eine Hash-Wiederverwendung für laterale Bewegungen hinweisen.

NTLM-Aktivität oder Authentifizierung von ungewöhnlichen Endpunkten

Ein Anstieg von NTLM-Anmeldungen oder Authentifizierungen von bisher unbekannten Geräten kann darauf hindeuten, dass ein Angreifer Hashes über Systeme hinweg wiederverwendet.

SMB- oder RPC-Aktivität von Arbeitsplatz zu Arbeitsplatz

Normale Geschäftsabläufe beinhalten selten, dass ein Mitarbeiterarbeitsplatz SMB- und RPC-Sitzungen mit einem anderen Arbeitsplatz initiiert. Aus diesem Grund sollten Sie ungewöhnlichen Ost-West-Verkehr (zum Beispiel zwischen zwei Benutzer-Laptops) im Auge behalten, da dies auf laterale Bewegung hinweisen kann.

Ergänzen Sie die Protokollüberwachung mit EDR-, XDR- und Identity Threat Detection & Response-Lösungen

Endpoint detection and response (EDR), extended detection and response (XDR) und identity threat detection and response (ITDR)-Lösungen können identitätsbasierte Bedrohungen in Echtzeit erkennen. Diese Tools analysieren das System- und Identitätsverhalten über Hosts hinweg. Sie legen normale Anmeldemuster fest und alarmieren, wenn sich ein Konto von neuen Geräten anmeldet, veraltete Authentifizierungsmethoden wie NTLM verwendet oder seitliche Bewegungen zeigt, die mit PtH-Taktiken übereinstimmen.

Honeypot-Konten und Tokens bereitstellen

Honeypot-Konten (auch honeytokens genannt) sind gefälschte Benutzerkonten oder Anmeldedaten, die in Systemen oder Speicherorten platziert werden, die Angreifer üblicherweise sondieren. Wenn auf diese Konten zugegriffen oder sich mit ihnen authentifiziert wird, wissen Verteidiger sofort, dass jemand Anmeldedaten sammelt oder wiederverwendet.

Minderung

Die Pass-the-Hash-Minderung erfordert die Härtung von Anmeldeinformationen, die Einschränkung von Berechtigungen und die Segmentierung von Vertrauensgrenzen.

Anmeldeschutz

Starker Schutz von Anmeldeinformationen steht im Mittelpunkt der PtH-Angriffsabwehr. Angreifer verlassen sich auf gespeicherte oder zwischengespeicherte Authentifizierungsdaten, daher begrenzt deren Isolierung und Sicherung ihren Erfolg.

Deaktivieren Sie NTLM oder erzwingen Sie nur NTLMv2: NTLM ist ein häufig missbrauchtes Authentifizierungsprotokoll. Das vollständige Deaktivieren zwingt Systeme, eine stärkere Kerberos-Authentifizierung zu verwenden. Wenn eine Deaktivierung aufgrund von Altsystemabhängigkeiten nicht möglich ist, erzwingen Sie NTLMv2, da es eine bessere kryptografische Stärke bietet und hilft, die Anfälligkeit für Replay-Angriffe zu verringern.
Aktivieren Sie Credential Guard und LSA Protection: Windows Defender Credential Guard verwendet virtualisierungsbasierte Sicherheit, um Geheimnisse wie NTLM-Hashes und Kerberos-Tickets vom Rest des Betriebssystems zu isolieren. Dies hilft, Diebstahl durch Speicherabbilder zu verhindern. Ebenso stellt LSA Protection (RunAsPPL) sicher, dass nur vertrauenswürdige, signierte Prozesse auf den LSASS-Prozess zugreifen können und blockiert Tools wie Mimikatz beim Extrahieren von Anmeldeinformationen.
Deaktivieren Sie WDigest, um das Zwischenspeichern von Klartext-Passwörtern zu verhindern: Ältere Windows-Systeme und einige Konfigurationen speichern Klartext-Passwörter im Speicher über das WDigest-Authentifizierungspaket. Deaktivieren Sie WDigest, um zu verhindern, dass diese Klartext-Passwörter zwischengespeichert werden. Dies stellt sicher, dass Angreifer beim Auslesen des LSASS-Speichers nur verschlüsselte oder gehashte Anmeldeinformationen erhalten.

Netzwerk- und Protokollkontrollen

Netzwerkbasierte Verteidigungsmaßnahmen können verhindern, dass Angreifer gestohlene Hashes verwenden, um sich lateral zwischen Systemen zu bewegen. Die Segmentierung, Verschlüsselung und Validierung des Datenverkehrs stellt sicher, dass nur legitime Kommunikation stattfindet.

Blockieren Sie SMB/RPC-Verkehr von Arbeitsplatz zu Arbeitsplatz: Angreifer verbreiten sich seitlich, indem sie Hashes über SMB- oder RPC-Verbindungen zwischen Benutzerarbeitsplätzen wiederverwenden. Diese Verbindungen werden für normale Geschäftsvorgänge nicht verwendet. Blockieren Sie die direkte Kommunikation von Arbeitsplatz zu Arbeitsplatz, um die Fähigkeit eines Angreifers einzuschränken, nach einer ersten Kompromittierung im Netzwerk zu pivotieren.
SMB-Signierung/-Verschlüsselung erforderlich: Die SMB-Signierung überprüft die Integrität der SMB-Pakete und verhindert Manipulationen, während die SMB-Verschlüsselung sicherstellt, dass Anmeldeinformationen und sensible Daten während der Übertragung nicht offengelegt werden. Erzwingen Sie diese Funktionen, um Angreifer daran zu hindern, Authentifizierungsverkehr abzufangen oder wiederzugeben.
Remote Credential Guard für RDP aktivieren: Remote Credential Guard verhindert, dass Anmeldeinformationen während RDP-Sitzungen an entfernte Systeme gesendet werden. Stattdessen erfolgt die Authentifizierung auf der Client-Seite, was das Risiko verringert, dass Hashes und Kerberos-Tickets von der entfernten Maschine abgegriffen werden.

Betriebliche Hygiene

Gute Sicherheitspraktiken halten Anmeldedaten, Systeme und Konfigurationen widerstandsfähig gegen Ausnutzung.

Drehen Sie die Kennwörter von Dienstkonten oder ersetzen Sie sie durch gMSA: Statische oder gemeinsam genutzte Dienstkontoanmeldeinformationen sind ein häufiges Angriffsziel. Group Managed Service Accounts automatisieren die Kennwortrotation, und häufige Rotation macht gestohlene Hashes für Angreifer schnell nutzlos.
Patchen Sie Systeme regelmäßig, um ausnutzbare Schwachstellen zu beseitigen: Viele Angriffe zum Diebstahl von Anmeldeinformationen, einschließlich PtH, beginnen mit Privilegieneskalations-Exploits, die SYSTEM- oder lokalen Administratorzugang gewähren. Halten Sie Systeme gepatcht, damit Angreifer bekannte Schwachstellen nicht nutzen können, um auf LSASS zuzugreifen oder Anmeldeinformationen auszulesen.
Führen Sie regelmäßig Penetrationstests und Red Teaming durch: Periodische Penetrationstests und Red-Team-Übungen simulieren reale Angriffsketten, einschließlich PtH-Techniken. Diese Bewertungen helfen, schwache Konfigurationen, Erkennungslücken und Lücken in der Verteidigung gegen laterale Bewegungen zu identifizieren.
Schulen Sie das Personal in Bezug auf Phishing- und Anmeldeinformationsdiebstahl: Viele PtH-Kampagnen beginnen mit Social Engineering, bei dem ein bösartiger E-Mail-Anhang oder Link den ersten Zugriff ermöglicht. Regelmäßige Schulungen helfen Mitarbeitern, Phishing-Versuche zu erkennen, zu verstehen, warum Anmeldeinformationen niemals wiederverwendet werden sollten, und verdächtige E-Mails frühzeitig zu melden.

Antwort

Wenn Indikatoren für PtH-Aktivitäten auftreten, sind schnelle Eindämmung und forensische Untersuchungen entscheidend, um die Auswirkungen zu minimieren.

Sofortige Maßnahmen

Wenn ein Pass-the-Hash-Angriff erkannt wird, schnell eindämmen. Das Ziel ist es, Schäden zu begrenzen, die Bewegung des Angreifers zu stoppen und Beweise für die Untersuchung zu sichern.

Setzen Sie kompromittierte Konten zurück, um gestohlene Hashes ungültig zu machen: Da PtH-Angriffe auf wiederverwendeten Passwort-Hashes basieren, müssen Sie die betroffenen Konten sofort zurücksetzen, um diese Anmeldeinformationen ungültig zu machen.
Quarantäne der betroffenen Endpunkte zur forensischen Untersuchung: Isolieren Sie kompromittierte Systeme vom Netzwerk, um zu verhindern, dass Angreifer sie als Ausgangspunkt für laterale Bewegungen nutzen. Analysieren Sie die in Quarantäne befindlichen Geräte, um festzustellen, wie Anmeldeinformationen gestohlen wurden und ob weitere Systeme gefährdet sind.
Begrenzen Sie laterale Bewegungen, indem Sie infizierte Systeme segmentieren: Die Netzwerksegmentierung kann die Fähigkeit des Angreifers blockieren, sich lateral durch die Umgebung zu bewegen. Platzieren Sie infizierte Systeme in eingeschränkten Netzwerkzonen, begrenzen Sie administrative Freigaben und deaktivieren Sie unnötige Remote-Protokolle (SMB/RDP), um den Vorfall einzudämmen.

Forensische Untersuchung

Nach der Eindämmung hilft die forensische Analyse den Teams, das Ausmaß des Verstoßes zu verstehen.

Analysieren Sie LSASS-Dumps, SAM, NTDS.dit auf Anzeichen einer Kompromittierung: Überprüfen Sie LSASS-Speicherdumps, die Security Account Manager (SAM)-Datenbank und die NTDS.dit Active Directory-Datenbank, um festzustellen, ob Anmeldeinformationen extrahiert wurden und welche Konten betroffen sind.
Review authentication logs to map attacker movement: Event logs provide a timeline of logons and privilege escalations. By correlating these events, analysts can reconstruct how the attacker authenticated across systems, identify lateral movement paths, and locate the initial access point.
Identifizieren Sie Persistenzmechanismen (neue Benutzer, geplante Aufgaben, GPO-Änderungen): Angreifer erstellen Hintertüren, um nach Passwortzurücksetzungen oder Systemwiederherstellungen erneut Zugriff zu erhalten. Suchen Sie nach unautorisierten Benutzerkonten, bösartigen geplanten Aufgaben, Autostartelementen und geänderten Gruppenrichtlinienobjekten, um sicherzustellen, dass Persistenzmethoden vor der Wiederherstellung entfernt werden.

Wiederherstellung und Härtung

Once the investigation concludes, focus shifts to restoring operations and strengthening defenses to prevent recurrence.

Kompromittierte Hosts mit Golden Images neu aufbauen: Systeme, die Teil des Angriffs waren, sollten gelöscht und mit vertrauenswürdigen Golden Images neu aufgebaut werden. Dies entfernt vollständig versteckte Malware, Rootkits und vom Angreifer hinterlassene Registrierungsänderungen.
Wiederherstellung von Offline-/unveränderlichen Backups: Backups, die vom Netzwerk getrennt oder in unveränderlichem Speicher abgelegt sind, sind entscheidend für eine saubere Wiederherstellung. Stellen Sie von verifizierten, unveränderten Backups wieder her, um Systeme schnell wieder online zu bringen, ohne kompromittierte Daten oder Konfigurationen erneut einzuführen.
Drehen Sie hochrangige Anmeldeinformationen (Domain Admin, Dienstkonten, KRBTGT): Anmeldeinformationen mit hohen Privilegien sind ein Hauptziel bei PtH-Kampagnen. Drehen Sie diese Passwörter, insbesondere das KRBTGT-Konto, das Kerberos-Tickets ausstellt, um gestohlene Passwörter und Tokens ungültig zu machen.
Setzen Sie stärkere Identitätsschutzmaßnahmen ein (Privileged Access Management, MFA, EDR/Identity Threat Detection & Response): Führen Sie Privileged Access Management für kontrollierte Admin-Sitzungen ein, MFA zur Verhinderung von Missbrauch mit nur einem Faktor sowie EDR/Identity Threat Detection & Response-Lösungen zur Erkennung abnormaler Authentifizierungsverhalten und Versuche des Missbrauchs von Anmeldeinformationen.

Branchenspezifische Auswirkungen

Pass-the-Hash-Angriffe betreffen nahezu jeden Sektor, aber ihre Folgen variieren je nach Art der Daten, Systeme und Vorschriften. So sind verschiedene Branchen betroffen.

Industry	Impact
Healthcare	PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.
Finance	In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.
Government	When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.
Retail	PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Industry

Impact

Healthcare

PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.

Finance

In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.

Government

When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.

Retail

PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Entwicklung von Angriffen und zukünftige Trends

Das Starten von Pass-the-Hash-Angriffen erforderte früher fortgeschrittene technische Fähigkeiten. Heute ermöglichen leicht verfügbare automatisierte Toolkits Angreifern, diese Technik als Teil größerer Angriffsketten zu verwenden.

PtH in Ransomware-as-a-Service (RaaS)-Operationen verwendet

Ransomware-Gruppen verwenden PtH zunehmend während der Netzwerk-Infiltrationsphasen. Affiliates von RaaS-Operationen wie LockBit und BlackCat nutzen gestohlene Hashes, um sich lateral zu bewegen, Domain-Admin-Rechte zu erlangen und Ransomware in großem Umfang zu verbreiten. Diese Taktik, sich schnell in einer Organisation auszubreiten und dann Ransomware einzusetzen, maximiert den Schaden und das Lösegeldpotenzial.

Neue Tools erweitern die Fähigkeiten der Angreifer

Angreifer verfügen nun über verschiedene Tools, die die Ausführung von PtH vereinfachen. Tools wie SharpKatz, Invoke-TheHash und Sharp-SMBExec bieten benutzerfreundliche Frameworks zum Sammeln und Wiederverwenden von NTLM-Hashes. Diese Hilfsmittel können auch traditionelle Antivirenprogramme umgehen und im Speicher arbeiten, was die Erkennung erschwert. Sie ermöglichen auch weniger erfahrenen Angreifern, effektive anmeldebasierte Angriffe durchzuführen.

Kombination mit pass-the-ticket und Kerberoasting in hybriden Umgebungen

In hybriden Setups, die Active Directory mit Entra ID verbinden, kombinieren Angreifer mehrere identitätsbasierte Techniken. Sie vermischen pass-the-hash mit pass-the-ticket und Kerberoasting, um sowohl lokale als auch Cloud-Infrastrukturen zu kompromittieren. Diese Verkettung von Angriffen ermöglicht es Bedrohungsakteuren, sich fließend zwischen Systemen zu bewegen und auch dann persistent zu bleiben, wenn ein Teil der Umgebung behoben wird.

KI-gesteuerte Malware und Automatisierung

Angreifer nutzen KI und Automatisierung, um den Diebstahl von Anmeldeinformationen und die laterale Bewegung zu beschleunigen. KI-gesteuerte Malware kann wertvolle Ziele dynamisch identifizieren, Hashes effizienter extrahieren und unauffälligere laterale Bewegungen ausführen. Dies verkürzt die Erkennungsfenster und erhöht die Chance auf eine vollständige Netzwerkkompromittierung. Zukünftige PtH-Angriffe werden auf adaptiver, selbstlernender Malware basieren, die traditionelle Identitätsschutzmaßnahmen umgehen kann.

Wichtige Statistiken und Infografiken

Dieser Abschnitt behandelt einige Statistiken und Datenpunkte, die zeigen, wie Pass-the-Hash-Angriffe sich in der realen Welt auswirken und durchsetzen. Von globalen Umfrageergebnissen bis hin zu Untersuchungen von Sicherheitsverletzungen spielen Diebstahl und Wiederverwendung von Zugangsdaten eine zentrale Rolle bei Cybervorfällen.

Laut dem 2026 Verizon Data Breach Investigations Report (DBIR) war die Verwendung gestohlener Anmeldeinformationen an 36 % der Sicherheitsverletzungen beteiligt, während 62 % aller Sicherheitsverletzungen ein menschliches Element wie Social Engineering, Missbrauch von Privilegien und Diebstahl von Anmeldeinformationen enthielten. Diese Erkenntnisse zeigen, wie die Kompromittierung von Anmeldeinformationen weiterhin ein anhaltender und bedeutender Faktor bei Cyberangriffen ist.
Kompromittierte Anmeldedaten waren laut dem Bericht The State of Ransomware 2025 von Sophos die Hauptursache für 23 % der Ransomware-Angriffe. Anmeldedatenbasierte Angriffstechniken, einschließlich Pass-the-Hash, gehören zu den Methoden, die zu diesem Vektor beitragen. In Kombination mit anderen anmeldebasierenden Angriffsvektoren bleiben gestohlene oder missbräuchlich verwendete Anmeldedaten einer der wichtigsten Faktoren für Ransomware-Angriffe.
Laut dem Sophos Active Adversary Report 2025waren kompromittierte Anmeldeinformationen die Hauptursache bei 41 % der im Jahr 2024 untersuchten Vorfallreaktionsfälle. Microsoft und andere Sicherheitsanbieter warnen weiterhin, dass das Auslesen von LSASS-Anmeldeinformationen, ein wichtiger Schritt bei PtH-Angriffen, eine der häufigsten Methoden ist, mit denen Angreifer die Anmeldeinformationen erhalten, die sie benötigen, um sich lateral durch Unternehmensumgebungen zu bewegen.

Aufschlüsselung des anfänglichen Zugriffsvektors (2025)

Die folgenden Daten, entnommen aus dem M-Trends 2026 Bericht von Mandiant, zeigen, dass gestohlene Zugangsdaten 9 % der identifizierten anfänglichen Zugriffspunkte im Jahr 2025 ausmachten und damit ihre anhaltende Rolle als Einstiegspunkt unterstreichen, den Angreifer nutzen, um sich seitlich zu bewegen und Privilegien zu erhöhen, sobald sie sich im System befinden.

Aus den Daten von Mandiant 2025:

Ausnutzung von Schwachstellen: 32 %
Voice-Phishing: 11 %
Vorheriger Kompromiss: 10 %
Gestohlene Anmeldedaten: 9 %
Andere Methoden: 38 %

Abschließende Gedanken

Pass-the-Hash-Angriffe gibt es seit Jahrzehnten, und sie funktionieren immer noch, weil sie etwas Grundlegendes ausnutzen, wie die Windows-Authentifizierung funktioniert. Man kann das nicht einfach durch einen Patch beheben oder hoffen, dass es einen nicht betrifft. Die Abwehr gegen PtH ist gut verstanden und effektiv. Privileged Access Workstations, Credential Tiering und die Überwachung seitlicher Bewegungen sind Kontrollen, die sich in der Praxis bewähren.

Zwischengespeicherte Anmeldedaten sind ein reales und zugängliches Ziel. Sperren Sie die Pfade, die dorthin führen. Warten Sie nicht bis zur Vorfallreaktion, um herauszufinden, wo die Lücken sind.

FAQs

Was ist ein Pass-the-Hash-Angriff?

Worin unterscheidet sich PtH von PtT?

Warum ist NTLM unsicher?

Welche Werkzeuge werden für PtH verwendet?

Wie können Unternehmen PtH verhindern?

Welche Branchen sind am stärksten gefährdet?

Welche Rolle spielt MFA bei der Verhinderung von PtH?

Wie stehlen Angreifer Passwort-Hashes?

Teilen auf

Published: Jun 12, 2026

Darryl Baker

Senior Security Researcher

Darryl G. Baker ist Senior Staff Security Researcher bei Netwrix und eine anerkannte Autorität im Bereich Identity und Active Directory Sicherheit. Mit über einem Jahrzehnt Erfahrung in Identitätssystemen hat er Unternehmenssicherheitsbewertungen, Schulungen zur Identitätssicherheit und Bedrohungsimulationen mit Fokus auf Active Directory, Entra ID und Azure-Umgebungen geleitet. Darryl hat hoch bewertete Schulungen und Demos bei BlueTeamCon, BSidesCT, The Experts Conference und Wild Wild West Hackin’ Fest gehalten. Er ist der Architekt zahlreicher praxisorientierter Angriffsemulationslabore, die aktuelle Red-Team- und Blue-Team-Tools nutzen, um Verteidigern zu helfen, alles von Angriffspfadanalyse bis Bedrohungsjagd zu meistern. In seinen Sitzungen verbindet Darryl tiefgehende technische Einblicke mit realen Fallstudien und befähigt Blue-Team-Profis, ihre Identity-Sicherheitslage zu stärken und sich gegen sich entwickelnde Angreifertechniken zu verteidigen.

Zugehörige Cybersecurity-Angriffe anzeigen

Missbrauch von Entra ID-Anwendungsberechtigungen – Funktionsweise und Verteidigungsstrategien

AdminSDHolder-Modifikation – Funktionsweise und Verteidigungsstrategien

AS-REP Roasting Attack - Funktionsweise und Verteidigungsstrategien

Hafnium-Angriff - Funktionsweise und Verteidigungsstrategien

DCSync-Angriffe erklärt: Bedrohung für die Active Directory Security

Ultimativer Leitfaden zu Golden SAML-Angriffen

Verständnis von Golden Ticket-Angriffen

gMSA-Ausnutzungsangriffe und Golden gMSA-Angriffe erklärt

DCShadow-Angriff – Funktionsweise, Beispiele aus der Praxis & Verteidigungsstrategien

ChatGPT Prompt Injection: Risiken, Beispiele und Prävention verstehen

NTDS.dit-Extraktionsangriffe erklärt

Kerberoasting-Angriff – Funktionsweise und Verteidigungsstrategien

Pass-the-Ticket-Attacke erklärt: Risiken, Beispiele & Verteidigungsstrategien

Verstehen von Password-Spraying-Angriffen

Verstehen der Extraktion von Klartext-Passwörtern

Zerologon-Schwachstelle erklärt: Risiken, Exploits und Milderung

Ein vollständiger Leitfaden zu Ransomware-Angriffen

Skeleton Key-Angriff: Wie er funktioniert und wie man ihn erkennt

Laterale Bewegungen: Was es ist, wie es funktioniert und Präventionsmaßnahmen

Man-in-the-Middle (MITM)-Angriffe: Was sie sind & Wie man sie verhindert

Warum ist PowerShell so beliebt bei Angreifern?

4 Angriffe auf Dienstkonten und wie man sich dagegen schützt

Wie Sie Malware-Angriffe daran hindern, Ihr Geschäft zu beeinträchtigen

Was ist Credential Stuffing?

Kompromittierung von SQL Server mit PowerUpSQL

Was sind Mousejacking-Angriffe und wie kann man sich dagegen verteidigen

Diebstahl von Anmeldeinformationen mit einem Security Support Provider (SSP)

Rainbow-Table-Attacken: Wie sie funktionieren und wie man sich dagegen verteidigt

Ein umfassender Blick auf Passwortangriffe und wie man sie stoppt

LDAP-Aufklärung

Umgehen der MFA mit dem Pass-the-Cookie-Angriff

Silver Ticket Attack