Saltar al contenido principal

Pass-The-Hash (PtH)

Has volcado un hash NTLM (vía LSASS dump, Mimikatz, Responder).

Categoría: Active Directory · Kerberos & NTLM 🎯 Trinchera — Has volcado un hash NTLM (vía LSASS dump, Mimikatz, Responder). No necesitas crackearlo: lo presentas directamente al servidor como si fuera la contraseña. 🔗 Kill chain — Requisito: hash NTLM válido (de cualquier usuario, incluso uno raso). Movimiento siguiente: movimiento lateral por SMB/WinRM, escalada a Domain Admin si el hash es de una cuenta privilegiada. 📡 Huella defensiva — Event ID 4624 con Logon Type 9 (NewCredentials) en el DC. Mimikatz toca LSASS → alerta crítica inmediata en el 99 % de los EDRs modernos. ⚠️ Falso amigo — Lanzar Mimikatz tal cual lo descargas. La firma estática está fichada por todos los AV. Hay que recompilar, ofuscar o usar variantes en memoria (Invoke-Mimikatz reflectivo). 🛡️ Remediación — Credential Guard activado, Protected Users group, LAPS para cuentas locales, restricción de admins por tier (Tier 0/1/2).
Volver al glosario completo Última actualización: 2026-06-11