Pass-The-Hash (PtH)
Has volcado un hash NTLM (vía LSASS dump, Mimikatz, Responder).
Categoría: Active Directory · Kerberos & NTLM 🎯 Trinchera — Has volcado un hash NTLM (vía LSASS dump, Mimikatz, Responder). No necesitas crackearlo: lo presentas directamente al servidor como si fuera la contraseña. 🔗 Kill chain — Requisito: hash NTLM válido (de cualquier usuario, incluso uno raso). Movimiento siguiente: movimiento lateral por SMB/WinRM, escalada a Domain Admin si el hash es de una cuenta privilegiada. 📡 Huella defensiva — Event ID 4624 conLogon Type 9
(NewCredentials) en el DC. Mimikatz toca LSASS → alerta crítica
inmediata en el 99 % de los EDRs modernos.
⚠️ Falso amigo — Lanzar Mimikatz tal cual lo descargas. La firma
estática está fichada por todos los AV. Hay que recompilar,
ofuscar o usar variantes en memoria (Invoke-Mimikatz reflectivo).
🛡️ Remediación — Credential Guard activado, Protected Users
group, LAPS para cuentas locales, restricción de admins por tier
(Tier 0/1/2).
← Volver al glosario completo Última actualización: 2026-06-11