Keamanan autentikasi sangat penting di lingkungan Windows — apalagi di jaringan perusahaan. Dua teknik serangan yang sering muncul dalam dunia pentest/incident response adalah Pass the Hash (PtH) dan Pass the Ticket (PtT). Keduanya memungkinkan penyerang menggunakan kredensial yang dicuri untuk mendapatkan akses tanpa harus mengetahui kata sandi asli. Di bawah ini penjelasan sederhana tentang apa itu masing-masing, bagaimana cara kerjanya, perbedaan utama, dampak, serta langkah mitigasinya.
Mengapa ini penting?
Biasanya kita berpikir kalau selama kata sandi tidak bocor, akun aman. Nyatanya, penyerang bisa memanfaatkan representasi kredensial lain (seperti hash atau ticket) yang disimpan di memori atau file, lalu menggunakannya untuk masuk ke sistem lain. Artinya: menjaga kata sandi saja tidak cukup — harus menjaga semua bentuk kredensial.
Dasar: Hash password dan tiket Kerberos
Hash password (NTLM hash)
Windows menyimpan representasi kata sandi dalam bentuk hash (mis. NTLM hash). Hash ini bukan kata sandi asli, tapi bisa dipakai sistem untuk memeriksa identitas saat autentikasi NTLM. Jika penyerang mendapatkan hash, kadang mereka bisa langsung menggunakannya untuk autentikasi tanpa mengetahui kata sandi.
Tiket Kerberos (TGT/TGS)
Di domain Windows yang menggunakan Kerberos, saat user login mereka menerima tiket (TGT = Ticket Granting Ticket). Untuk mengakses layanan, sistem akan menggunakan TGT/TGS untuk mendapatkan tiket layanan. Tiket ini punya masa berlaku — artinya tidak berlaku selamanya.
Apa itu Pass the Hash (PtH)?
Pass the Hash adalah teknik di mana penyerang mengambil NTLM hash dari suatu akun dan menggunakannya untuk autentikasi ke mesin atau layanan lain — tanpa mengetahui kata sandi plaintext.
Cara kerja singkat:
Penyerang mengompromikan sebuah mesin (mis. lewat malware atau exploit).
Mereka mengekstrak hash dari memori/berkas (kaya LSASS atau SAM).
Menggunakan hash itu untuk autentikasi NTLM ke resource lain (mis. file share, remote service).
Contoh tools: Mimikatz, PsExec, CrackMapExec — tools ini kerap dipakai untuk ekstraksi dan penggunaan hash.
Kondisi yang memudahkan PtH:
Autentikasi NTLM masih diizinkan di jaringan.
Akun dengan hak tinggi menggunakan password yang sama di banyak mesin (reused admin password).
Credential disimpan di memori tanpa proteksi.
Apa itu Pass the Ticket (PtT)?
Pass the Ticket adalah teknik di mana penyerang mencuri tiket Kerberos (TGT atau tiket layanan) dari memori dan menggunakannya untuk mengakses layanan yang diizinkan oleh tiket tersebut.
Cara kerja singkat:
Setelah kompromi mesin, penyerang mengekstrak tiket Kerberos dari memori proses (biasanya LSASS).
Mereka memuat tiket tersebut ke sesi mereka sendiri, lalu akses resource/domain seolah-olah mereka adalah user pemilik tiket.
Contoh tools: Mimikatz, Rubeus — sering dipakai untuk dump tiket Kerberos dan inject tiket ke sesi.
Ciri khas PtT:
Tiket memiliki masa berlaku (mis. beberapa jam). Ini membuat PtT lebih sementara dibanding PtH.
Karena tiket Kerberos terlihat seperti autentikasi sah, deteksi lebih sulit — aktivitas bisa tampak sebagai user yang benar-benar melakukan akses.
Perbedaan utama: PtH vs PtT
Apa yang dicuri:
PtH = NTLM hash (representasi kata sandi).
PtT = tiket Kerberos (TGT/TGS).
Lingkungan target:
PtH sering berhasil ketika NTLM dipakai atau saat layanan menerima hash untuk autentikasi.
PtT khusus di domain Kerberos (Active Directory).
Daya tahan kredensial:
Hash bisa digunakan berulang tanpa kadaluarsa sampai hash/password diganti.
Tiket punya masa berlaku — lebih cepat kadaluarsa, sehingga akses bersifat sementara.
Tingkat deteksi:
PtH: sering terlihat ketika ada koneksi NTLM antar host yang tidak biasa.
PtT: lebih sulit dideteksi karena tiket meniru autentikasi normal Kerberos.
Dampak: keduanya memungkinkan lateral movement dan eskalasi privilege; PtH bisa memberi akses lebih permanen, PtT bisa memberi akses tampak sah untuk jangka pendek.
Dampak serangan
Jika sukses, kedua teknik ini bisa menyebabkan:
Akses tidak sah ke file server, kontrol domain, atau layanan sensitif.
Eskalasi menjadi administrator domain (jika kredensial admin dicuri).
Persistence: penyerang bisa bergerak lateral, memindahkan data, memasang backdoor.
Sulitnya deteksi awal karena serangan menggunakan kredensial yang valid.
Cara mitigasi (praktis & prioritas)
Untuk mencegah Pass the Hash
Nonaktifkan NTLM jika memungkinkan; gunakan Kerberos penuh. Jika tidak memungkinkan, batasi penggunaan NTLM.
Gunakan LAPS (Local Administrator Password Solution) untuk mengelola password admin lokal unik per mesin — hindari shared local admin password.
Jangan reuse credential: hindari penggunaan credential yang sama di banyak host.
Segmentasi dan least privilege: batasi akses admin hanya ke mesin yang perlu.
Proteksi LSASS: gunakan Windows Defender Credential Guard atau fitur serupa; batasi akses proses untuk dump memori.
Patching & hardening: tutup vektor initial compromise (exploit, malware).
Untuk mencegah Pass the Ticket
Kurangi lifetime tiket Kerberos jika kebijakan memungkinkan (sesuaikan TTL tiket).
Gunakan Kerberos armoring / FAST dan enforce stronger authentication untuk tiket sensitif.
Monitor anomali Kerberos: over-use tiket, permintaan tiket yang tidak biasa, atau tiket yang diinject.
Audit dan logging: aktifkan logging Kerberos dan periksa event yang mencurigakan (mis. ticket for user yang tidak sesuai waktu).
Praktik umum penting
Multi-Factor Authentication (MFA) untuk akses sensitif (terutama remote/admin).
Least privilege dan segregasi tugas.
Deteksi & respons: SIEM, deteksi anomali, dan playbook IR untuk kejadian credential theft.
Edukasi & kebijakan: user awareness dan kebijakan password yang kuat.
Kesimpulan
Pass the Hash dan Pass the Ticket adalah dua teknik berbeda tetapi sama-sama berbahaya: keduanya memanfaatkan kredensial yang valid (bukan memecahkan kata sandi dengan brute force). PtH memanfaatkan hash (bisa tahan lama), sementara PtT memanfaatkan tiket Kerberos (lebih bersifat sementara tapi sulit dibedakan dari aktivitas normal). Pertahanan terbaik melibatkan kombinasi: mengurangi penggunaan NTLM, menerapkan proteksi memori, mengadopsi MFA, monitoring Kerberos, dan menjaga hygiene kredensial (mis. LAPS, unique admin passwords, segmentasi jaringan).
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
