Apa Itu Serangan Pass the Hash?
Serangan pass the hash adalah eksploitasi di mana penyerang mencuri kredensial pengguna yang sudah di-hash dan — tanpa membobolnya — menggunakannya kembali untuk menipu sistem autentikasi agar membuat sesi baru yang sudah terautentikasi dalam jaringan yang sama.
Pass the hash biasanya digunakan sebagai teknik pergerakan lateral. Artinya, hacker memanfaatkan teknik ini untuk mendapatkan informasi dan kredensial tambahan setelah berhasil menguasai sebuah perangkat. Dengan berpindah-pindah antar perangkat dan akun, penyerang bisa mendapatkan kredensial yang tepat untuk meningkatkan hak akses mereka, misalnya menjadi admin di domain controller. Sebagian besar pergerakan dalam serangan pass the hash dilakukan melalui perangkat lunak jarak jauh, seperti malware.
Biasanya, serangan ini menargetkan sistem Windows, tetapi dalam beberapa kasus juga bisa digunakan pada sistem operasi (OS) lain dan berbagai protokol autentikasi seperti Kerberos. Windows menjadi target utama karena fitur single sign-on (SSO) yang memungkinkan pengguna memasukkan kata sandi sekali saja untuk mengakses semua sumber daya. SSO ini menyimpan kredensial pengguna dalam sistem, sehingga lebih mudah diakses oleh penyerang.
Bagaimana Cara Kerja Serangan Pass the Hash?
Untuk menjalankan serangan pass the hash, penyerang pertama-tama harus mendapatkan hash dari sistem target menggunakan berbagai alat pengambil hash, seperti fgdump dan pwdump7. Kemudian, hash tersebut disuntikkan ke dalam Local Security Authority Subsystem Service (LSASS).
Serangan ini sering kali menargetkan sistem Windows karena kerentanan pada hash New Technology Local Area Network Manager (NTLM) setelah hak admin berhasil didapatkan. Serangan ini bisa mengecoh sistem autentikasi Windows agar menganggap perangkat penyerang sebagai pengguna sah dan secara otomatis memberikan akses tanpa perlu memasukkan kata sandi asli.
NTLM hash adalah kode matematis tetap yang dibuat dari kata sandi dan menjadi kunci utama dalam serangan pass the hash. Dengan NTLM hash yang sudah dikompromikan, penyerang bisa menggunakan akun domain tanpa harus mengetahui kata sandi aslinya. Hal ini karena sistem OS seperti Windows tidak pernah benar-benar mengirim atau menyimpan kata sandi dalam bentuk teks biasa, melainkan dalam bentuk hash NTLM yang terenkripsi dan tidak bisa di-reverse-engineer.
NTLM masih bisa digunakan untuk mengakses berbagai akun dan sumber daya dalam jaringan. Namun, untuk mengakses LSASS, penyerang harus berhasil menguasai perangkat hingga malware bisa berjalan dengan hak admin lokal. Ini adalah salah satu tantangan utama dalam serangan pass the hash.
Setelah perangkat Windows berhasil diretas dan malware mendapatkan akses ke username serta hash NTLM, penyerang bisa memilih untuk mengumpulkan lebih banyak kredensial atau langsung mencoba mengakses sumber daya jaringan dengan kredensial pengguna yang memiliki hak lebih tinggi.
Misalnya, dengan mengumpulkan lebih banyak kredensial, penyerang bisa mendapatkan akses ke akun pengguna lain yang memiliki hak lebih tinggi, seperti akun layanan atau admin TI yang memiliki akses jarak jauh ke komputer tersebut. Jika admin TI login ke mesin Windows yang sudah diretas, username dan hash NTLM mereka bisa langsung diambil oleh malware yang sudah terintegrasi.
Pergerakan lateral ini memungkinkan penyerang mencari pengguna dengan hak istimewa lebih tinggi, seperti admin domain. Jika berhasil mendapatkan kredensial domain administrator, hacker bisa menjalankan berbagai proses sebagai admin di domain controller. Mereka bisa mengakses data penting seperti database pelanggan, repositori kode sumber, dan server email.
Sebelum Windows 10, sangat sedikit hambatan bagi hacker untuk mendapatkan hash NTLM dari sistem Windows yang diretas. Namun, Windows 10 memperbaiki kelemahan ini dengan fitur keamanan Microsoft Windows Defender Credential Guard (WDCG). Dengan teknologi keamanan berbasis virtualisasi, WDCG dapat mengisolasi LSASS sehingga hanya aplikasi terpercaya dan berhak yang bisa mengakses data di dalamnya. Dengan cara ini, aplikasi berbahaya tidak bisa lagi mengakses hash NTLM, bahkan jika berjalan dengan hak admin penuh. Meskipun Windows telah berupaya meningkatkan keamanan hash NTLM dan LSASS, serangan pass the hash masih menjadi ancaman yang perlu diwaspadai perusahaan.
Cara Mencegah Serangan Pass the Hash
Untuk mengurangi risiko serangan pass the hash, organisasi harus memastikan bahwa domain controller hanya bisa diakses dari sistem yang terpercaya dan tidak terhubung ke internet. Otentikasi dua faktor yang menggunakan token juga perlu diterapkan, bersama dengan prinsip least privilege. Organisasi juga harus secara aktif memantau host dan lalu lintas dalam jaringan untuk aktivitas mencurigakan.
Laporan dari One Identity pada 2019 menemukan bahwa 95% dari 1.000 responden mengalami dampak langsung dari serangan pass the hash di organisasi mereka. Sekitar 40% dari serangan ini menyebabkan kerugian finansial, dan 70% meningkatkan biaya operasional.
Karena serangan pass the hash mengeksploitasi fitur dan kemampuan protokol NTLM, ancaman ini tidak bisa dihilangkan sepenuhnya. Jika sebuah komputer berhasil diretas, pass the hash hanyalah salah satu dari banyak aktivitas jahat yang bisa dilakukan hacker. Sayangnya, ada banyak cara bagi hacker untuk mengambil alih kendali sistem jarak jauh, dan metode ini terus berkembang. Oleh karena itu, langkah-langkah keamanan siber tidak akan pernah 100% efektif, dan itulah mengapa banyak teknik mitigasi sering digunakan secara bersamaan.
Mengingat bahwa tidak semua serangan pass the hash bisa dicegah, perusahaan perlu meningkatkan strategi deteksi mereka, selain juga langkah pencegahan. Log workstation adalah salah satu cara paling efektif untuk memantau aktivitas administratif. Log ini bisa melacak penugasan hak istimewa serta upaya login yang berhasil. Log server target dan domain controller juga berguna untuk keperluan yang sama.