Ataque Pass-the-hash explicado: Como os atacantes contornam os logins

Glossário de cibersegurança Catálogo de ataques

Entendendo ataques pass-the-hash (PtH)

Pass-the-hash (PtH) é uma técnica de roubo de credenciais onde um atacante captura hashes de senha NTLM da memória ou disco e os reutiliza para autenticar-se em serviços de rede sem conhecer a senha em texto claro. O ataque explora o modelo de autenticação baseado em hash do NTLM, permitindo movimento lateral, escalonamento de privilégios e comprometimento do domínio. Ferramentas como Mimikatz automatizam a extração e reutilização de hashes. A defesa eficaz combina desativar o NTLM, isolar os armazenamentos de credenciais, implantar Privileged Access Management e monitorar padrões anômalos de autenticação.

Pass-the-hash é um ataque onde um adversário rouba a senha hash de um usuário (hash NTLM/LM) de uma máquina e a usa para autenticar em outros sistemas.

Attribute	Details
Attack type	Credential theft and lateral movement
Impact level	High / Critical
Target	Windows/NTLM environments, domain controllers, privileged accounts
Primary attack vector	Credential dumping (LSASS, SAM, NTDS.dit, challenge–response sniffing)
Motivation	Financial gain, espionage, persistence
Common prevention methods	MFA, PAM, Credential Guard, disable NTLM, LSASS protection, EDR/XDR

Risk factor	Level
Potential damage	Critical
Ease of execution	Moderate
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Moderate

Likelihood

High

Preocupado com ataques pass-the-hash no seu ambiente?

Converse com nossos especialistas para aprender como detectar roubo de credenciais, impedir movimentação lateral e proteger contas privilegiadas.

O que é um ataque pass-the-hash?

Um ataque pass-the-hash ocorre quando um invasor rouba a senha hashada de um usuário (por exemplo, um hash NTLM) de uma máquina comprometida e reutiliza esse hash para autenticar em outros sistemas, sem jamais precisar da senha em texto simples. Muitos processos de autenticação do Windows aceitam um hash no lugar da senha, então o invasor pode se passar pelo usuário até que as credenciais da conta sejam alteradas ou o hash seja invalidado.

Este ataque aproveita as fraquezas nos protocolos de autenticação do Windows, particularmente o NTLM. NTLM e o protocolo mais antigo LM usam métodos de autenticação baseados em hash que aceitam um hash válido no lugar de uma senha em texto simples. LM é criptograficamente fraco (fácil de quebrar) e o NTLM permite que o mesmo hash seja reutilizado em serviços de rede.

Pass-the-hash é comum em ambientes Windows. No entanto, máquinas Linux integradas ao Active Directory, servidores de arquivos Samba ou serviços que suportam NTLM/Kerberos podem aceitar hashes roubados e credenciais reproduzidas. Configurações de nuvem híbrida e sincronização AD-Entra ID também são vulneráveis, especialmente onde a autenticação NTLM ou compatibilidade legada está habilitada. Uma vez que um invasor obtém acesso a um sistema e extrai material de credenciais da memória ou disco, ele pode “passar” o hash para se mover lateralmente, escalar privilégios e até comprometer controladores de domínio.

Como funciona um ataque pass-the-hash?

Um ataque pass-the-hash segue uma cadeia direta, desde o momento em que um invasor obtém um ponto de apoio até alcançar, finalmente, alvos de alto valor. Aqui estão as etapas comuns e o que acontece em cada uma.

Acesso inicial

O atacante obtém um ponto de entrada na rede por phishing, instalação de malware, exploração de um serviço vulnerável ou uso de credenciais roubadas. Essa base em uma máquina de usuário ou servidor dá a ele a capacidade de executar código ou ler a memória em um host alvo.

Colheita de hashes

Uma vez em um host, o invasor extrai material de credenciais (hashes ou outros artefatos de autenticação) do host comprometido ou do domínio. Eles miram em armazenamentos do sistema (o banco de dados SAM local ou um NTDS.dit exportado), processos residentes na memória que armazenam credenciais em cache (dump de memória LSASS ao vivo) ou usam replicação/abuso de AD (como DCSync) para obter dados de contas. Eles também podem capturar o tráfego de rede onde protocolos legados de desafio-resposta são usados.

Autenticação com o hash roubado

O atacante reutiliza o hash capturado para autenticar-se em SMB, RPC ou outros serviços que aceitam autenticação NTLM (ou similar), efetivamente se passando pela conta sem decifrar o hash. As ferramentas comuns usadas para realizar essa repetição incluem Mimikatz, Invoke-TheHash, Sharp-SMBExec e frameworks ofensivos como Cobalt Strike.

Movimentação lateral

Usando o hash roubado, o atacante se move do host inicial para outras máquinas. Eles usam mecanismos de gerenciamento remoto (compartilhamentos SMB, execução remota tipo PsExec, WMIC, tarefas agendadas ou ferramentas administrativas integradas) para alcançar máquinas adicionais e coletar mais credenciais. Também usam roubo de token e personificação para agir como outros usuários. Dessa forma, expandem seu controle pela rede enquanto se misturam com a atividade administrativa legítima.

Escalada de privilégios

Com acesso lateral, os atacantes miram contas com privilégios mais altos (service accounts, domain admins e SIDs integrados de alto privilégio como RID-500), abusam de configurações incorretas (service accounts com privilégios excessivos, armazenamentos de credenciais expostos) e exploram serviços vulneráveis para obter hashes em nível de administrador. Isso lhes concede controle mais amplo e reduz a necessidade de roubar credenciais repetidamente.

Persistência e objetivos

Após obter posições privilegiadas, os invasores estabelecem persistência (backdoors, tarefas agendadas, contas de serviço alteradas) para permanecer dentro, mesmo após reinicializações e alterações de senha. Agora estão posicionados para perseguir objetivos como roubo de dados, implantação de ransomware e espionagem a longo prazo.

Suporte Netwrix

Ferramentas como Netwrix Auditor e Netwrix Threat Manager podem ajudar a detectar atividades pass-the-hash monitorando continuamente os padrões de autenticação e acesso. Elas identificam anomalias como logons NTLM inesperados, escalonamentos de privilégios e acessos incomuns a processos sensíveis como LSASS. Ao correlacionar esses eventos e emitir alertas em tempo real, as organizações podem investigar rapidamente e conter possíveis movimentos laterais.

Diagrama do fluxo de ataque

Vamos analisar um fluxo visual simples do ataque pass-the-hash e um exemplo de história sob a perspectiva de uma organização que mostra como o ataque começa com uma violação na rede levando à escalada de privilégios e persistência.

Na Archie Corp, um funcionário abre um anexo malicioso de fatura, dando ao atacante uma posição inicial na rede. O atacante executa um loader e despeja a memória LSASS para capturar hashes NTLM. Usando esses hashes, ele se autentica em um servidor de arquivos interno via SMB e executa PsExec para alcançar hosts adicionais. A partir de um jump host, encontra uma conta de serviço com privilégios elevados e reutiliza seu hash para acessar um controlador de domínio. O atacante cria uma tarefa agendada para persistência e exfiltra arquivos sensíveis, depois implanta ransomware.

Exemplos de ataques pass-the-hash

Ataques pass-the-hash aparecem repetidamente em intrusões do mundo real. Aqui estão alguns exemplos reais que ilustram como essa técnica aparece em campanhas de ransomware e direcionadas.

Case	Impact
Hive ransomware (2022)	In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks. Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload. A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”
HSE Conti ransomware attack (2021)	On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide. After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites. Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.
NotPetya (June 2017)	On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Case

Impact

Hive ransomware (2022)

In 2022, Hive ransomware operators carried out a wave of attacks that exploited the ProxyShell vulnerabilities in Microsoft Exchange servers (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). These flaws allowed remote code execution, giving attackers an initial foothold inside corporate networks.

Once inside, the attackers deployed web shells and Cobalt Strike beacons for persistence and control. They then ran Mimikatz to dump credentials from LSASS memory and extract NTLM hashes, which were reused in a pass-the-hash technique to authenticate laterally across systems, including domain controllers. With elevated privileges, Hive actors spread through the environment, disabled defenses, exfiltrated sensitive data, and finally deployed their ransomware payload.

A joint advisory by CISA, FBI, and HHS stated that as of November 2022, Hive had victimized over 1,300 companies worldwide and extracted some $100 million in ransom payments. It also listed the sectors targeted by Hive: “Government Facilities, Communications, Critical Manufacturing, Information Technology, and especially Healthcare and Public Health (HPH).”

HSE Conti ransomware attack (2021)

On 14 May 2021, Ireland’s Health Service Executive (HSE) was hit by a major ransomware attack by the Conti gang, forcing the shutdown of all its IT systems nationwide.

After gaining unauthorized access to HSE's IT environment on March 18, the attacker operated undetected for some eight weeks before deploying the Conti ransomware on May 14. During that time, they moved laterally through the network, compromised high-privilege accounts, and exfiltrated data from multiple sites.

Conti operators used Mimikatz and Cobalt Strike to steal credentials and perform PtH attacks. They used dumped NTLM hashes to authenticate and move laterally via SMB, PsExec, and RDP. Although HSE's antivirus detected the malicious tools on March 31, 2021, it was set to monitor-only mode and failed to block the attack.

NotPetya (June 2017)

On 27 June 2017, the NotPetya wave began in Ukraine (80% of infections) and rapidly spread worldwide. It affected organizations in France, Germany, Italy, Poland, Russia, UK, US, and Australia. After initial execution, the attackers used credential-theft techniques and then leveraged remote-execution channels such as PsExec, WMIC and SMB to move laterally across networks, causing billions of dollars in damages. Vendor analyses and government writeups describe this as a “credential theft + remote exec” propagation model and note Mimikatz-style harvesting behavior, which is similar to pass-the-hash patterns seen in many ransomware campaigns.

Consequências dos ataques pass-the-hash

Os ataques pass-the-hash podem ter consequências de longo alcance porque concedem acesso de nível administrador aos invasores. O dano não se limita ao impacto técnico. Afeta finanças, continuidade dos negócios, confiança do cliente e até conformidade regulatória.

Impact area	Description
Financial	Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.
Operational	By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.
Reputational	Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.
Legal/regulatory	Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Impact area

Description

Financial

Victims face ransom demands, data-recovery and remediation expenses, and potential financial fraud. The combined cost of downtime, system rebuilds, and lost revenue can reach millions.

Operational

By compromising administrative access to the network, attackers can disable critical systems, deploy ransomware, and halt essential business processes, leading to prolonged outages.

Reputational

Breaches that involve credential abuse lead to loss of customer and partner trust, brand damage, media scrutiny, and potential loss of clients.

Legal/regulatory

Exposure or misuse of sensitive data can trigger GDPR, HIPAA, and SOX violations. Organizations can face lawsuits, regulatory investigations, and huge fines for non-compliance or negligence.

Alvos comuns de um ataque pass-the-hash: Quem está em risco?

Os ataques pass-the-hash são mais eficazes contra sistemas que armazenam, processam ou aceitam hashes de autenticação reutilizáveis. Alguns alvos comuns são discutidos abaixo.

Ambientes Active Directory

Muitos ambientes Active Directory ainda suportam autenticação legada como NTLM e possuem um grande número de contas e serviços privilegiados. Métodos de autenticação mais antigos, além de muitas relações de confiança interconectadas, tornam as florestas AD alvos de alto valor, pois um único host comprometido pode expor muitas contas.

Controladores de domínio e servidores Windows

Controladores de domínio e outros servidores Windows armazenam e processam hashes NTLM, credenciais em cache do LSASS e outros dados de diretório, tornando-os alvos principais. Se um invasor comprometer uma dessas máquinas, poderá coletar esses segredos e escalar rapidamente.

Contas privilegiadas

Administradores de domínio, contas de serviço e SIDs integrados de alto privilégio (por exemplo, RID-500/admin local) fornecem alcance lateral e controle. Capturando as credenciais dessas contas, os invasores podem se passar por elas e realizar ações em todo o domínio.

Sistemas mal configurados

Sistemas com senhas administrativas compartilhadas, aplicação deficiente de GPO e credenciais em cache/armazenadas (incluindo contas de serviço incorporadas em scripts e arquivos de configuração) reduzem drasticamente a barreira para ataques pass-the-hash. Políticas fracas e reutilização de credenciais pioram o impacto de uma violação.

Ambientes híbridos/nuvem

Em ambientes mistos locais e na nuvem, os invasores podem combinar pass-the-hash com pass-the-ticket ou Kerberoasting para atacar hosts Linux ingressados no AD, servidores Samba e identidades sincronizadas com Entra ID. Essas configurações híbridas ampliam a superfície de ataque e tornam a proteção da identidade mais complexa.

Avaliação de risco

Pass-the-hash é um ataque de alto risco porque dá aos atacantes a capacidade de se passar por usuários e assumir o controle total de um domínio Active Directory com credenciais privilegiadas.

Risk factor	Level
Potential damage	Critical A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.
Ease of execution	Moderate Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.
Likelihood	High Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Risk factor

Level

Potential damage

Critical
A single compromised high-privilege account or access to domain controllers can enable full domain compromise, large-scale data exfiltration, ransomware deployment, and long recovery timelines.

Ease of execution

Moderate
Pass-the-hash requires an initial foothold and local admin (or SYSTEM) rights to extract hashes. However, tools like Mimikatz and WCE make it easy once an attacker is inside the network.

Likelihood

High
Pass-the-hash is a common post-exploitation technique in real-world incidents (ransomware and targeted campaigns), especially in environments with legacy NTLM usage, poor segmentation, and weak credential hygiene.

Como prevenir ataques pass-the-hash

Os ataques pass-the-hash exploram práticas de autenticação fracas e privilégios excessivos. Para preveni-los, as organizações devem reduzir a exposição de credenciais, bloquear direitos de administrador e monitorar de perto sinais de uso indevido. As seguintes melhores práticas podem ajudar.

Endurecimento de credenciais e autenticação

Desative ou elimine o NTLM sempre que possível e aplique a autenticação baseada em Kerberos. NTLM está desatualizado e é muito mais suscetível a abusos.
Se o NTLM ainda for necessário, restrinja-o ao NTLMv2 para uma proteção criptográfica mais forte.
Ative o Windows Defender Credential Guard para isolar o LSASS e proteger o material de credenciais contra roubo.
Ative a proteção LSA (RunAsPPL) para impedir que processos não confiáveis leiam a memória LSASS.
Desative o WDigest para que as senhas em texto simples não sejam armazenadas em cache na memória.

Controles de acesso privilegiado

Aplique o princípio do menor privilégio (PoLP). Os usuários devem ter apenas o acesso que realmente precisam e nenhum direito administrativo desnecessário.
Use just-in-time (JIT) e Just Enough Administration (JEA) para conceder direitos de administrador temporários para tarefas específicas.
Randomize senhas de administrador local com Microsoft LAPS ou LAPS2 para evitar o reuso de credenciais.
Nunca reutilize senhas de administrador local em várias máquinas.
Adicione contas sensíveis e de alto valor ao grupo Protected Users.

Segurança de identidade e conta

Implemente Privileged Access Management (PAM) ou um cofre de senhas para controlar e auditar credenciais privilegiadas.
Substitua contas de serviço estáticas por contas de serviço gerenciadas em grupo (gMSAs).
Implemente a rotação regular e automática de senhas para todas as contas de alto valor.
Exigir autenticação multifator (MFA) para acesso remoto e privilegiado.
Audite continuamente as contas privilegiadas para remover as inativas e obsoletas.

Defesas de rede e protocolo

Bloqueie o tráfego SMB/RPC de estação de trabalho para estação de trabalho para evitar movimentos laterais. Você pode fazer isso aplicando segmentação leste-oeste, como regras de firewall ou políticas de firewall de host que neguem SMB/RPC entre endpoints.
Ative a assinatura e a criptografia SMB para maior integridade da sessão.
Use Remote Credential Guard para proteger credenciais durante sessões RDP.
Segmente as contas de administrador por níveis (por exemplo, Nível 0 para controladores de domínio, Nível 1 para servidores) para conter possíveis violações.
Aplique restrições de logon para que contas privilegiadas possam acessar apenas sistemas aprovados.

Higiene de TI e operacional

Aplique patches regularmente, especialmente para vulnerabilidades relacionadas à autenticação e NTLM.
Realize testes de penetração regulares e exercícios de red team para validar suas defesas.
Treine os funcionários para reconhecer tentativas de phishing e riscos de roubo de credenciais.
Mantenha imagens golden e backups imutáveis ou offline para recuperação rápida após incidentes.
Avance para um modelo Zero Trust onde você verifica continuamente cada usuário, dispositivo e solicitação.

Como a Netwrix pode ajudar

Os ataques pass-the-hash são difíceis de impedir apenas com defesas tradicionais porque exploram credenciais válidas. As soluções Netwrix fortalecem a segurança da identidade detectando comportamentos suspeitos de autenticação, controlando o acesso privilegiado e fornecendo visibilidade total das atividades das contas.

Netwrix Threat Manager

Netwrix Threat Manager ajuda a detectar atividades PtH combinando engano e análise comportamental para identificar roubo de credenciais e movimentação lateral.

Engano (honeytokens): Threat Manager permite implantar honeytokens como credenciais “iscas” no ambiente. Se um invasor tentar usá-las ou autenticar-se com elas, é um forte indicador de coleta e reprodução maliciosa de credenciais. O sistema gerará um alerta para investigação.
Análise comportamental e detecção de anomalias: O produto estabelece uma linha de base do comportamento normal de usuários e serviços e então sinaliza anomalias que correspondem a padrões de roubo de credenciais ou movimento lateral, por exemplo, contas que se autenticam a partir de hosts que nunca usaram antes, picos repentinos no número de hosts acessados por uma conta ou uso incomum de ferramentas administrativas. Essas detecções baseadas em identidade são correlacionadas com eventos do AD, Entra ID e do sistema de arquivos para reduzir falsos positivos e gerar alertas em tempo real.

Netwrix Privilege Secure

Privilege Secure reduz o risco de credenciais roubadas e reutilizadas protegendo contas privilegiadas. Remove privilégios permanentes, aplica acesso just-in-time, fornece armazenamento seguro de credenciais e monitora a atividade privilegiada. Isso impede que invasores abusem de senhas e hashes armazenados, dificultando ataques pass-the-hash.

Privilégios permanentes zero com acesso JIT: Privilege Secure concede privilégios elevados apenas quando uma tarefa é aprovada e os revoga automaticamente depois. Isso elimina contas de administrador de longa duração que os invasores poderiam explorar.
Armazenamento de credenciais: O produto integra-se com vaults ou pode gerenciar segredos por conta própria. Centraliza credenciais privilegiadas e reduz senhas reutilizadas em endpoints. Armazenamento centralizado junto com rotação automática impede que invasores encontrem credenciais estáveis para extrair e reutilizar.
Monitoramento e auditoria de sessões: Privilege Secure registra e monitora sessões e ações privilegiadas (quem acessou o quê, quando e como) para auditoria e prontidão forense.
Controle granular de privilégios e remoção de direitos de administrador local: O produto permite remover direitos de administrador local dos usuários, conceder apenas permissões específicas para tarefas e gerenciar centralmente o acesso elevado.
Descoberta de contas privilegiadas ocultas: Privilege Secure pode escanear endpoints e identificar contas privilegiadas ocultas e não gerenciadas.

Netwrix Auditor

Auditor oferece visibilidade total sobre a atividade do usuário e as alterações do sistema. Ele rastreia logons, alterações em contas e privilégios, e modificações de configuração em todo o seu ambiente. Todas as ações são registradas com detalhes de quem, o quê, quando e onde. Isso facilita para as equipes investigarem comportamentos incomuns, responderem a incidentes e cumprirem regulamentos.

Detecta logons suspeitos e atividade NTLM: Auditor rastreia todos os logons bem-sucedidos e falhos (incluindo autenticação NTLM). Fornece trilhas de auditoria detalhadas mostrando horários de logon, hosts e uso de contas, o que ajuda as equipes a identificar logons incomuns que podem indicar roubo de identidade ou uma conta comprometida.
Monitora o uso de contas privilegiadas: O produto registra quando contas privilegiadas (como Domain Admins e contas de serviço) são usadas fora dos sistemas e horários esperados, e gera alertas para avisar as equipes.
Audita alterações em contas e grupos sensíveis: Os invasores frequentemente adicionam contas comprometidas a grupos de administração após usar PtH. Auditor fornece alertas quando grupos críticos do Active Directory são modificados.
Fornece trilhas de auditoria forense: Registros detalhados de quem acessou o quê e quando permitem que os investigadores rastreiem como os hashes roubados foram usados.

Detecte e responda a ataques pass-the-hash com Netwrix Threat Manager. Baixe a avaliação gratuita.

Estratégias de detecção, mitigação e resposta

Os ataques pass-the-hash podem ocorrer silenciosamente. Por essa razão, a detecção precoce e a resposta rápida são críticas. Suas táticas de defesa devem combinar visibilidade, gerenciamento rigoroso de credenciais e resposta disciplinada para reduzir os danos causados por esses ataques.

Detecção

A detecção precoce depende de identificar anomalias sutis de autenticação e padrões de abuso de credenciais.

Monitorar IDs de eventos do Windows

As equipes de segurança devem monitorar os IDs de eventos do Windows 4624, 4625, 4648, 4672 e 4688 para detectar logons incomuns, tentativas falhas e uso de privilégios.

4624: Disparado quando um usuário ou serviço faz login com sucesso. Útil para identificar logins incomuns ou inesperados (como logins de rede NTLM).
4625: Registrado quando uma tentativa de login falha.
4648: Ocorre quando um usuário ou processo tenta fazer logon usando credenciais explícitas (por exemplo, runas, unidades mapeadas, conexões remotas). Comum em tentativas de PtH e movimento lateral.
4672: Indica que uma sessão de logon recebeu privilégios elevados.
4688: Registrado quando um processo é iniciado. Essencial para detectar ferramentas ou scripts suspeitos (como Mimikatz, PsExec e payloads do PowerShell).

Tentativas incomuns de acesso ao LSASS.exe

Os atacantes miram o processo LSASS para extrair material de credenciais da memória. O ID de evento 10 do Sysmon registra tentativas de acesso direto ao LSASS, por exemplo, quando ferramentas de roubo de credenciais como Mimikatz ou Cobalt Strike tentam ler a memória do processo. Esse acesso é raro em operações normais, portanto tentativas repetidas ou incomuns de acesso ao LSASS devem gerar alertas.

Picos em autenticações remotas NTLM

Fique atento a picos incomuns de autenticação NTLM. Logons NTLM do Tipo 3 (rede) ou Tipo 10 (interativo remoto) mostram autenticações via SMB, RPC e RDP. Um aumento repentino desses eventos de uma única conta ou host pode indicar reutilização de hash para movimento lateral.

Atividade NTLM ou autenticação de endpoints incomuns

Um aumento nos logons ou autenticações NTLM provenientes de máquinas nunca vistas antes pode sugerir que um atacante está reproduzindo hashes entre sistemas.

Atividade SMB ou RPC de estação de trabalho para estação de trabalho

Os fluxos de trabalho comerciais normais raramente envolvem a estação de trabalho de um funcionário iniciando sessões SMB e RPC com outra estação de trabalho. Por esse motivo, fique atento ao tráfego incomum leste-oeste (por exemplo, entre dois laptops de usuários), pois pode indicar movimento lateral.

Complete o monitoramento de logs com soluções EDR, XDR e Identity Threat Detection & Response

As soluções Endpoint detection and response (EDR), extended detection and response (XDR) e identity threat detection and response (ITDR) podem identificar ameaças baseadas em identidade em tempo real. Essas ferramentas analisam o comportamento do sistema e da identidade em vários hosts. Elas estabelecem padrões normais de login e alertam quando uma conta faz login a partir de novas máquinas, usa métodos de autenticação desatualizados como NTLM ou apresenta movimentação lateral consistente com táticas PtH.

Implantar contas e tokens honeypot

Contas honeypot (também chamadas de honeytokens) são contas de usuário falsas ou credenciais colocadas em sistemas ou locais de memória que os atacantes geralmente sondam. Se essas contas forem acessadas ou autenticadas, os defensores sabem imediatamente que alguém está coletando ou reproduzindo credenciais.

Mitigação

A mitigação do pass-the-hash requer o fortalecimento das credenciais, o aperto dos privilégios e a segmentação dos limites de confiança.

Proteção de credenciais

A forte proteção de credenciais está no cerne da mitigação de ataques PtH. Os atacantes dependem de dados de autenticação armazenados ou em cache, portanto, isolá-los e protegê-los limita seu sucesso.

Desative o NTLM ou aplique apenas o NTLMv2: NTLM é um protocolo de autenticação comumente abusado. Desativá-lo completamente força os sistemas a usar autenticação Kerberos mais forte. Se desativá-lo não for viável devido a dependências legadas, aplique o NTLMv2, pois ele oferece melhor força criptográfica e ajuda a reduzir a exposição a ataques de repetição.
Ative Credential Guard e LSA Protection: O Windows Defender Credential Guard usa segurança baseada em virtualização para isolar segredos como hashes NTLM e tickets Kerberos do restante do sistema operacional. Isso ajuda a prevenir roubos por meio de dumps de memória. Da mesma forma, o LSA Protection (RunAsPPL) garante que apenas processos confiáveis e assinados possam acessar o processo LSASS, bloqueando ferramentas como o Mimikatz de extrair credenciais.
Desative o WDigest para impedir o cache de senhas em texto simples: Sistemas Windows antigos e algumas configurações armazenam senhas em texto simples na memória por meio do pacote de autenticação WDigest. Desative o WDigest para evitar que essas senhas em texto simples sejam armazenadas em cache. Isso garante que, mesmo que invasores extraiam a memória LSASS, eles recuperem apenas credenciais criptografadas ou com hash.

Controles de rede e protocolo

Defesas a nível de rede podem impedir que atacantes usem hashes roubados para se mover lateralmente entre sistemas. Segmentar, criptografar e validar o tráfego garante que apenas comunicações legítimas ocorram.

Bloquear o tráfego SMB/RPC de estação de trabalho para estação de trabalho: Os invasores se espalham lateralmente reutilizando hashes em conexões SMB ou RPC entre estações de trabalho dos usuários. Essas conexões não são usadas para operações comerciais normais. Bloqueie a comunicação direta de estação de trabalho para estação de trabalho para limitar a capacidade do invasor de pivotar pela rede após uma comprometimento inicial.
Exigir assinatura/criptografia SMB: A assinatura SMB verifica a integridade dos pacotes SMB e impede adulterações, enquanto a criptografia SMB garante que credenciais e dados sensíveis não sejam expostos em trânsito. Implemente esses recursos para impedir que invasores interceptem ou reproduzam o tráfego de autenticação.
Ativar Remote Credential Guard para RDP: Remote Credential Guard impede que credenciais sejam enviadas para sistemas remotos durante sessões RDP. Em vez disso, a autenticação é realizada no lado do cliente, o que reduz o risco de hashes e tickets Kerberos serem capturados da máquina remota.

Higiene operacional

Uma boa higiene de segurança mantém credenciais, sistemas e configurações resilientes contra exploração.

Gire as senhas das contas de serviço ou substitua por gMSA: As credenciais estáticas ou compartilhadas das contas de serviço são um alvo comum de ataque. As Group Managed Service Accounts automatizam a rotação de senhas, e a rotação frequente torna os hashes roubados rapidamente inúteis para os atacantes.
Aplique patches regularmente nos sistemas para remover vulnerabilidades exploráveis: Muitos ataques de roubo de credenciais, incluindo PtH, começam com exploits de escalonamento de privilégios que concedem acesso SYSTEM ou de administrador local. Mantenha os sistemas atualizados para que os invasores não possam usar vulnerabilidades conhecidas para acessar o LSASS ou extrair dados de credenciais.
Realize testes de penetração e red teaming regularmente: Testes de penetração periódicos e exercícios de red team simulam cadeias de ataque do mundo real, incluindo técnicas PtH. Essas avaliações ajudam a identificar configurações fracas, pontos cegos na detecção e lacunas nas defesas contra movimentos laterais.
Treine a equipe sobre conscientização de phishing e roubo de credenciais: Muitas campanhas PtH começam com engenharia social, onde um anexo ou link malicioso em um e-mail fornece o primeiro acesso. Treinamentos regulares ajudam os funcionários a reconhecer tentativas de phishing, entender por que as credenciais nunca devem ser reutilizadas e relatar e-mails suspeitos precocemente.

Resposta

Quando aparecem indicadores de atividade PtH, a contenção rápida e a investigação forense são fundamentais para minimizar o impacto.

Ações imediatas

Quando um ataque pass-the-hash é detectado, contenha-o rapidamente. O objetivo é limitar os danos, impedir o movimento do atacante e preservar as evidências para investigação.

Redefina as contas comprometidas para invalidar os hashes roubados: Como os ataques PtH dependem de hashes de senha reutilizados, você deve redefinir imediatamente as contas afetadas para invalidar essas credenciais.
Coloque os endpoints afetados em quarentena para investigação forense: Isole sistemas comprometidos da rede para impedir que invasores os usem como pontos de apoio para movimentos laterais. Analise os dispositivos em quarentena para determinar como as credenciais foram roubadas e se outros sistemas estão em risco.
Contenha o movimento lateral segmentando sistemas infectados: A segmentação de rede pode bloquear a capacidade do invasor de se mover lateralmente pelo ambiente. Coloque sistemas infectados em zonas de rede restritas, limite compartilhamentos administrativos e desative protocolos remotos desnecessários (SMB/RDP) para conter a violação.

Investigação forense

Após a contenção, a análise forense ajuda as equipes a entender o escopo da violação.

Analise dumps LSASS, SAM, NTDS.dit para indicadores de comprometimento: Revise dumps de memória LSASS, o banco de dados Security Account Manager (SAM) e o banco de dados NTDS.dit do Active Directory para revelar se credenciais foram extraídas e quais contas foram afetadas.
Review authentication logs to map attacker movement: Event logs provide a timeline of logons and privilege escalations. By correlating these events, analysts can reconstruct how the attacker authenticated across systems, identify lateral movement paths, and locate the initial access point.
Identifique os mecanismos de persistência (novos usuários, tarefas agendadas, alterações de GPO): Os invasores criam backdoors para recuperar o acesso após redefinições de senha ou reconstruções do sistema. Procure por contas de usuário não autorizadas, tarefas agendadas maliciosas, itens de inicialização e Objetos de Política de Grupo modificados para garantir que os métodos de persistência sejam removidos antes da recuperação.

Recuperação e fortalecimento

Once the investigation concludes, focus shifts to restoring operations and strengthening defenses to prevent recurrence.

Reconstrua hosts comprometidos com imagens golden: Sistemas que fizeram parte do ataque devem ser apagados e reconstruídos usando imagens golden confiáveis. Isso remove completamente malwares ocultos, rootkits e modificações de registro deixadas pelos atacantes.
Restaurar a partir de backups offline/imutáveis: Backups desconectados da rede ou armazenados em armazenamento imutável são cruciais para uma recuperação limpa. Restaure a partir de backups verificados e não adulterados para colocar os sistemas online rapidamente sem reintroduzir dados ou configurações comprometidas.
Roteie credenciais de alto valor (Domain Admin, contas de serviço, KRBTGT): Credenciais com privilégios elevados são um alvo principal em campanhas PtH. Rote essas senhas, especialmente a conta KRBTGT que emite tickets Kerberos, para invalidar senhas e tokens roubados.
Implemente defesas de identidade mais fortes (Privileged Access Management, MFA, EDR/Identity Threat Detection & Response): Introduza Privileged Access Management para sessões administrativas controladas, MFA para evitar o uso indevido de fator único e soluções EDR/Identity Threat Detection & Response para detectar comportamentos anormais de autenticação e tentativas de uso indevido de credenciais.

Impacto específico do setor

Os ataques pass-the-hash afetam quase todos os setores, mas suas consequências variam dependendo do tipo de dados, sistemas e regulamentações envolvidos. Veja como diferentes indústrias são impactadas.

Industry	Impact
Healthcare	PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.
Finance	In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.
Government	When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.
Retail	PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Industry

Impact

Healthcare

PtH attacks in healthcare can lead to patient record theft, exposing sensitive medical and personal data that is protected under HIPAA. Compromised systems can also serve as entry points for ransomware attacks, which can further disrupt hospital operations, delay care, and even endanger patients. The resulting regulatory penalties and loss of public trust can have long-term effects on both finances and reputation.

Finance

In the financial sector, attackers using stolen hashes can impersonate employees and privileged users to access internal systems and initiate fraudulent transactions. The ability to move laterally within banking systems compounds the risk of large-scale breaches and insider-style fraud. This results in financial loss and exposes institutions to compliance violations under regulations like SOX or PCI DSS.

Government

When PtH techniques are used against government networks, the impact extends beyond data loss. Attackers can perform cyber-espionage, steal classified information, and disrupt critical public services. Such incidents can compromise national security and damage public confidence in digital governance systems.

Retail

PtH attacks on retail organizations target point-of-sale (POS) systems and supply chain networks. Attackers can steal customer payment data or implant malware through trusted vendor relationships. These breaches lead to data theft, financial losses, and brand damage, especially during peak sales periods when uptime is crucial.

Evolução dos ataques e tendências futuras

Lançar ataques pass-the-hash antes exigia habilidades técnicas avançadas. Hoje, kits de ferramentas automatizados facilmente disponíveis permitem que atacantes usem essa técnica como parte de cadeias de ataque maiores.

PtH usado em operações de ransomware como serviço (RaaS)

Grupos de ransomware agora usam cada vez mais PtH durante as fases de infiltração da rede. Afiliados de operações RaaS, como LockBit e BlackCat, usam hashes roubados para se mover lateralmente, obter privilégios de administrador de domínio e implantar ransomware em larga escala. Essa tática de se espalhar rapidamente por uma organização e depois implantar ransomware maximiza os danos e o potencial de resgate.

Novas ferramentas ampliam as capacidades dos atacantes

Os atacantes agora têm uma variedade de ferramentas que simplificam a execução de PtH. Ferramentas como SharpKatz, Invoke-TheHash e Sharp-SMBExec fornecem estruturas fáceis de usar para coletar e reutilizar hashes NTLM. Esses utilitários também podem evitar ferramentas antivírus tradicionais e operar na memória, dificultando a detecção. Eles também permitem que atacantes menos habilidosos lancem ataques baseados em credenciais de forma eficaz.

Combinação com pass-the-ticket e Kerberoasting em ambientes híbridos

Em configurações híbridas que conectam Active Directory com Entra ID, os atacantes combinam várias técnicas baseadas em identidade. Eles misturam pass-the-hash com pass-the-ticket e Kerberoasting para comprometer tanto a infraestrutura local quanto a nuvem. Essa cadeia de ataques permite que os atores de ameaça se movam fluidamente entre os sistemas e persistam mesmo se uma parte do ambiente for remediada.

Malware impulsionado por IA e automação

Os atacantes estão aproveitando a IA e a automação para acelerar o roubo de credenciais e o movimento lateral. Malware impulsionado por IA pode identificar dinamicamente alvos valiosos, extrair hashes de forma mais eficiente e executar movimentos laterais mais furtivos. Isso reduz as janelas de detecção e aumenta a chance de comprometimento total da rede. Ataques PtH futuros dependerão de malware adaptativo e autoaprendizagem que pode contornar as proteções tradicionais de identidade.

Estatísticas principais e infográficos

Esta seção discute algumas estatísticas e dados que mostram como ataques pass-the-hash impactam e prevalecem na vida real. Desde resultados de pesquisas globais até investigações de violações, o roubo e reutilização de credenciais desempenham um papel central em incidentes cibernéticos.

De acordo com o 2026 Verizon Data Breach Investigations Report (DBIR), o uso de credenciais roubadas esteve envolvido em 36% das violações, enquanto 62% de todas as violações incluíram um elemento humano, como engenharia social, uso indevido de privilégios e roubo de credenciais. Essas descobertas destacam como a violação de credenciais continua sendo um fator persistente e significativo em ataques cibernéticos.
Credenciais comprometidas foram a causa principal de 23% dos ataques de ransomware, de acordo com o relatório The State of Ransomware 2025 da Sophos. Técnicas de ataque baseadas em credenciais, incluindo pass-the-hash, estão entre os métodos que contribuem para esse vetor. Quando combinadas com outros vetores de ataque baseados em credenciais, credenciais roubadas ou mal utilizadas continuam sendo um dos principais facilitadores das implantações de ransomware.
De acordo com o Sophos Active Adversary Report 2025, credenciais comprometidas foram a principal causa em 41% dos casos de resposta a incidentes investigados em 2024. A Microsoft e outros fornecedores de segurança continuam a alertar que o despejo de credenciais LSASS, uma etapa chave nos ataques PtH, continua sendo uma das formas mais comuns pelas quais os invasores obtêm as credenciais necessárias para se mover lateralmente pelos ambientes empresariais.

Distribuição do vetor de acesso inicial (2025)

Os dados a seguir, extraídos do relatório M-Trends 2026 da Mandiant, mostram que credenciais roubadas representaram 9% dos vetores de acesso inicial identificados em 2025, destacando seu papel contínuo como ponto de entrada que os invasores usam para se mover lateralmente e escalar privilégios uma vez dentro.

Dos dados da Mandiant de 2025:

Exploração de vulnerabilidades: 32%
Phishing por voz: 11%
Comprometimento anterior: 10%
Credenciais roubadas: 9%
Outros métodos: 38%

Considerações finais

Os ataques pass-the-hash existem há décadas e ainda funcionam porque exploram algo fundamental sobre como a autenticação do Windows opera. Você não pode simplesmente corrigir isso com um patch ou esperar que isso não aconteça com você. As defesas contra PtH são bem compreendidas e eficazes. Estações de trabalho de Privileged Access, hierarquização de credenciais e monitoramento de movimentos laterais são controles que funcionam na prática.

Credenciais em cache são um alvo real e acessível. Bloqueie os caminhos que levam até lá. Não espere até estar na resposta a incidentes para descobrir onde estão as falhas.

Perguntas frequentes

O que é um ataque pass-the-hash?

Como o PtH difere do PtT?

Por que o NTLM é inseguro?

Quais ferramentas são usadas para PtH?

Como as empresas podem prevenir PtH?

Quais indústrias estão mais em risco?

Qual é o papel do MFA na prevenção do PtH?

Como os atacantes roubam os hashes de senha?

Compartilhar em

Published: Jun 12, 2026

Darryl Baker

Pesquisador Sênior de Segurança

Darryl G. Baker é um Pesquisador Sênior de Segurança na Netwrix e uma autoridade reconhecida em segurança de Identity e Active Directory. Com mais de uma década de experiência em sistemas de identidade, ele liderou avaliações de segurança empresarial, treinamentos em segurança de identidade e emulações de ameaças focadas em Active Directory, Entra ID e ambientes Azure. Darryl ministrou treinamentos e demonstrações altamente avaliados no BlueTeamCon, BSidesCT, The Experts Conference e Wild Wild West Hackin’ Fest. Ele é o arquiteto por trás de inúmeros laboratórios práticos de emulação de ataques — aproveitando as ferramentas atuais de red team e blue team para ajudar os defensores a dominar desde a análise de caminhos de ataque até a caça a ameaças. Em suas sessões, Darryl combina profundo conhecimento técnico com estudos de caso do mundo real, capacitando profissionais do blue team a fortalecer sua postura de segurança de identidade e defender-se contra técnicas adversárias em evolução.

Ver ataques de cibersegurança relacionados

Abuso de Permissões de Aplicativos Entra ID – Como Funciona e Estratégias de Defesa

Modificação do AdminSDHolder – Como Funciona e Estratégias de Defesa

Ataque AS-REP Roasting - Como Funciona e Estratégias de Defesa

Ataque Hafnium - Como Funciona e Estratégias de Defesa

Ataques DCSync Explicados: Ameaça à Segurança do Active Directory

Guia definitivo para ataques Golden SAML

Entendendo ataques Golden Ticket

Ataques de exploração gMSA e ataques Golden gMSA explicados

Ataque DCShadow – Como Funciona, Exemplos Reais e Estratégias de Defesa

Injeção de Prompt do ChatGPT: Entendendo Riscos, Exemplos e Prevenção

Ataques de extração NTDS.dit explicados

Ataque de Kerberoasting – Como Funciona e Estratégias de Defesa

Ataque Pass-the-Ticket Explicado: Riscos, Exemplos e Estratégias de Defesa

Ataque de Password Spraying

Ataque de Extração de Senha em Texto Simples

Vulnerabilidade Zerologon Explicada: Riscos, Explorações e Mitigação

Um guia completo para ataques de ransomware

Ataque Skeleton Key: como funciona e como detectá-lo

Movimento Lateral: O que é, Como Funciona e Prevenções

Ataques Man-in-the-Middle (MITM): O que São & Como Preveni-los

Por que o PowerShell é tão popular entre os atacantes?

4 ataques a contas de serviço e como se proteger contra eles

Como Prevenir que Ataques de Malware Afetem o Seu Negócio

O que é Credential Stuffing?

Comprometendo o SQL Server com PowerUpSQL

O que são ataques de Mousejacking e como se defender contra eles

Roubando Credenciais com um Provedor de Suporte de Segurança (SSP)

Ataques de Rainbow Table: Como Funcionam e Como se Defender Contra Eles

Um Olhar Abrangente sobre Ataques de Senha e Como Impedi-los

Reconhecimento LDAP

Bypassando MFA com o ataque Pass-the-Cookie

Ataque Silver Ticket