Ringkasan singkat

Pass-the-Hash (PtH) adalah salah satu teknik lateral movement yang sering dipakai penyerang setelah mereka mendapatkan akses awal ke jaringan. Alih-alih menggunakan kata sandi biasa, penyerang memanfaatkan hash (representasi terenkripsi dari kata sandi) untuk melakukan autentikasi ke komputer lain. Artikel ini menjelaskan konsep, bagaimana PtH bekerja secara garis besar, tanda-tanda kompromi, dan langkah-langkah yang bisa dilakukan organisasi untuk mendeteksi dan mencegahnya — semuanya dalam bahasa yang sederhana.

Apa itu hash dan kenapa bisa dipakai sebagai kredensial?

Hash adalah hasil transformasi satu arah dari sebuah data — dalam konteks ini kata sandi. Ketika Anda mengetik kata sandi, sistem biasanya mengubahnya menjadi hash dan menyimpan hash tersebut. Hash berbeda dari kata sandi asli: Anda tidak bisa (dengan mudah) mengubah hash kembali menjadi kata sandi.

Namun beberapa sistem autentikasi, khususnya model lama di Windows (NTLM), menerima hash sebagai bukti identitas saat proses login. Artinya, jika penyerang berhasil mengambil hash dari sebuah mesin, mereka bisa menggunakannya seperti “kunci” untuk mengakses mesin lain — tanpa mengetahui kata sandi aslinya.

Di mana Pass-the-Hash masuk dalam serangan?

Lateral movement adalah fase setelah penyerang mendapatkan akses awal ke sebuah perangkat atau akun. Tujuannya: memperluas akses ke sistem lain, mencari data sensitif, atau mencapai akun dengan hak istimewa lebih tinggi (mis. domain admin). Pass-the-Hash adalah salah satu metode yang membuat lateral movement jadi mudah karena penyerang tidak perlu menebak kata sandi — cukup memanfaatkan hash yang sudah dicuri.

Gambaran umum: Bagaimana alur Pass-the-Hash

Berikut alur sederhana tanpa detail teknis berbahaya:

  1. Initial access: Penyerang berhasil masuk ke sebuah workstation atau server (mis. lewat phishing atau eksploitasi lain).

  2. Pengambilan hash: Dari sistem yang sudah dikompromi, penyerang menemukan atau mengekstrak hash kredensial yang tersimpan di memori atau file.

  3. Penggunaan hash: Penyerang menggunakan hash tersebut untuk melakukan autentikasi ke sistem lain dalam jaringan (mis. server file, domain controller, atau server lain).

  4. Perluasan akses: Jika hash yang dicuri milik akun dengan hak tinggi, penyerang bisa mendapatkan akses lebih luas atau eskalasi ke privilege yang lebih tinggi.

  5. Eksfiltrasi / tujuan akhir: Setelah memperluas akses, penyerang mencari data berharga atau menempatkan backdoor untuk akses selanjutnya.

Penting: artikel ini tidak menjelaskan langkah teknis untuk mengekstrak atau menggunakan hash. Tujuan kita adalah memahami risiko dan bagaimana mencegahnya.

Mengapa Pass-the-Hash masih menjadi ancaman?

Beberapa faktor membuat PtH tetap efektif:

  • Penggunaan kredensial yang sama di banyak mesin (mis. akun admin lokal dengan password sama di banyak server).

  • Protokol lama atau konfigurasi sistem yang masih mengizinkan autentikasi berbasis hash (NTLM).

  • Kurangnya segmentasi jaringan, sehingga satu host yang dikompromi mudah mencapai host lain.

  • Kurangnya monitoring pada aktivitas autentikasi internal yang membuat perilaku anomali sulit terdeteksi.

Indikator Kompromi (Apa yang harus dicari)

Berikut tanda-tanda umum yang dapat mengindikasikan aktivitas PtH atau perilaku lateral movement terkait:

  • Logon tidak biasa: akun yang biasanya hanya login di satu mesin tiba-tiba muncul melakukan autentikasi di banyak mesin.

  • Koneksi SMB/WinRM tak terduga: lalu lintas file sharing atau remote management antara host yang seharusnya tidak berkomunikasi.

  • Proses memori yang aneh: aktivitas proses yang mengakses memori proses sistem kritis atau melakukan dump memori (indikator adanya tool dumping kredensial).

  • Event Windows anomali: event login yang berulang, logon dengan hak istimewa dari host yang tidak lazim.

  • Koneksi outbound aneh: ketika attacker menjadikan mesin sebagai pivot, Anda mungkin melihat koneksi keluar/in yang tidak biasa.

Catatan: indikator di atas bersifat umum. Untuk konfirmasi diperlukan korelasi log, timeline, dan investigasi forensik.

Cara mendeteksi (pendekatan praktis)

Beberapa pendekatan yang bisa diterapkan tim keamanan:

  • Endpoint detection (EDR): deteksi proses yang mencoba membaca memori proses sistem (seperti LSASS pada Windows), atau binari yang dikenal untuk credential dumping.

  • Monitoring logon: pantau event login (mis. event 4624, 4672 di Windows) untuk pola login yang mencurigakan, terutama login administratif lintas host.

  • Network monitoring: analisa pola SMB/WinRM dan lihat apakah ada percobaan autentikasi yang tak lazim antar host.

  • Threat hunting: cari account yang melakukan autentikasi ke banyak host dalam rentang waktu singkat, atau percobaan autentikasi dari subnet yang berbeda.

  • SIEM rules: buat aturan yang menandai pola anomali seperti banyaknya logon administratif dari satu akun ke banyak komputer.

Mitigasi & Langkah Pencegahan (Apa yang bisa dilakukan sekarang juga)

Berikut langkah-langkah praktis yang dapat memperkecil risiko PtH:

  1. Least privilege — Batasi hak admin hanya untuk yang memang perlu. Hindari akun admin yang tersebar di banyak host.

  2. Network segmentation — Pisahkan subnet dan batasi komunikasi antar segmen hanya pada layanan yang diperlukan.

  3. Non-reuse of local admin passwords — Jangan pakai password admin lokal yang sama di banyak mesin; gunakan solusi seperti LAPS (Local Administrator Password Solution) untuk mengrotasi password lokal.

  4. Disable or restrict NTLM — Jika memungkinkan, matikan NTLM atau batasi penggunaan NTLM; pakai Kerberos yang dikonfigurasi aman.

  5. Implement MFA — Terapkan multi-factor authentication untuk akses berprivilege, sehingga pencurian hash saja tidak cukup.

  6. Credential Guard / virtualization-based security — Pada Windows modern, fitur seperti Credential Guard dapat membantu melindungi kredensial dari dumping.

  7. Endpoint protection — Pasang EDR/antivirus yang mampu mendeteksi alat credential dumping dan aktivitas suspicious.

  8. Monitoring & logging — Pastikan audit log dikumpulkan dan dianalisis (SIEM), termasuk logon, privileged events, dan akses ke proses sistem.

  9. Patch & hardening — Terapkan pembaruan sistem secara berkala dan konfigurasi baseline keamanan.

  10. Inventory & account management — Catat dan audit akun dengan hak istimewa; rotasi password service accounts secara berkala.

Lab singkat yang aman (hanya gambaran)

Jika organisasi ingin melakukan latihan internal (pentest/assessment), pastikan:

  • Gunakan environment terisolasi (VM lab yang bukan bagian dari produksi).

  • Dapatkan otorisasi tertulis (scope jelas: target, durasi, tindakan yang diizinkan).

  • Gunakan snapshot/backup sebelum menjalankan tes agar mudah rollback.

  • Tujuan lab: mengamati bagaimana PtH bisa terjadi, melihat log dan IOCs, lalu menguji apakah mitigasi (mis. LAPS, Credential Guard) efektif.

  • Jangan menyebarkan langkah eksploitasi ke lingkungan produksi atau publik.

Pelajaran dari insiden nyata (ringkas)

Banyak insiden serangan besar melibatkan lateral movement yang cepat setelah akses awal — sering karena akun admin lokal yang sama, konfigurasi lama, atau kurangnya monitoring. Pelajaran penting: pencegahan kredensial dan pembatasan komunikasi internal lebih efektif dari sekadar memperkuat perimeter.

Checklist cepat untuk tim keamanan

  • Apakah semua admin lokal memiliki password unik dan dirotasi?

  • Apakah NTLM dimatikan atau dibatasi?

  • Apakah MFA diterapkan pada akun berprivilege?

  • Apakah EDR aktif dan dikonfigurasi untuk mendeteksi credential dumping?

  • Apakah logon dan aktivitas network dianalisis oleh SIEM?

  • Apakah ada segmentasi jaringan yang baik antara endpoint dan server sensitif?

  • Apakah ada playbook tanggap insiden untuk skenario credential theft?

Kesimpulan

Pass-the-Hash adalah ancaman nyata dalam fase lateral movement karena memanfaatkan kelemahan cara penyimpanan dan penggunaan kredensial. Mencegahnya memerlukan kombinasi kebijakan (least privilege, rotasi password), teknologi (EDR, Credential Guard, MFA), dan operasi (monitoring, playbook insiden). Fokus pada perlindungan kredensial dan deteksi aktivitas internal akan jauh lebih efektif daripada hanya memperkuat perimeter.

Related Posts: