Pengantar
Dalam dunia keamanan siber, perlindungan terhadap kredensial pengguna merupakan aspek yang sangat penting. Banyak organisasi mengandalkan mekanisme autentikasi berbasis password untuk melindungi sistem dan data sensitif. Namun, terdapat teknik serangan yang memungkinkan penyerang mengakses sistem tanpa perlu mengetahui password asli pengguna, yaitu Pass-the-Hash (PtH).
Serangan Pass-the-Hash sering dikaitkan dengan lingkungan Windows dan Active Directory, di mana kredensial pengguna disimpan dalam bentuk hash. Jika hash tersebut berhasil dicuri oleh penyerang, mereka dapat menggunakannya kembali untuk melakukan autentikasi ke sistem lain tanpa harus memecahkan password terlebih dahulu.
Teknik ini menjadi sangat berbahaya karena memungkinkan penyerang melakukan lateral movement di dalam jaringan organisasi, memperluas akses dari satu komputer ke komputer lainnya hingga akhirnya menguasai infrastruktur jaringan secara luas.
Apa Itu Pass-the-Hash?
Pass-the-Hash (PtH) adalah teknik serangan yang memungkinkan penyerang melakukan autentikasi ke sistem dengan menggunakan hash password yang telah dicuri, tanpa perlu mengetahui password asli dari pengguna.
Dalam sistem operasi Windows, password tidak disimpan dalam bentuk teks biasa (plaintext), melainkan dalam bentuk hash kriptografi seperti NTLM hash. Hash ini digunakan oleh sistem untuk memverifikasi identitas pengguna saat proses login.
Masalahnya, jika penyerang berhasil mendapatkan hash tersebut—misalnya melalui dump memori atau eksploitasi sistem—hash tersebut dapat langsung digunakan untuk melakukan autentikasi pada layanan lain di jaringan. Pass-the-Hash memanfaatkan hash autentikasi yang dicuri untuk mengakses sistem tanpa perlu mengetahui password pengguna.
baca juga : Host Header Injection: Celah Tersembunyi yang Bisa Mengambil Alih Aplikasi Web
Bagaimana Cara Kerja Pass-the-Hash?
Serangan Pass-the-Hash biasanya terjadi setelah penyerang berhasil mendapatkan akses awal ke dalam jaringan.
Secara umum, proses serangan berlangsung melalui beberapa tahap berikut:
-
Penyerang mendapatkan akses ke komputer dalam jaringan.
-
Penyerang mengekstrak hash password dari memori sistem atau database kredensial.
-
Hash tersebut digunakan untuk melakukan autentikasi ke sistem lain.
-
Penyerang bergerak secara lateral di dalam jaringan.
Karena sistem hanya memverifikasi kecocokan hash, maka password asli tidak diperlukan dalam proses ini.
Bagaimana Penyerang Mendapatkan Hash Password?
Ada beberapa metode yang sering digunakan oleh penyerang untuk mendapatkan hash password dari sistem target.
Dumping Memory (LSASS Attack)
Salah satu metode paling umum adalah dengan mengekstrak kredensial dari proses LSASS (Local Security Authority Subsystem Service) di Windows.
Cara Kerja Serangan
Proses LSASS menyimpan kredensial autentikasi pengguna yang sedang login. Dengan menggunakan tools tertentu, penyerang dapat melakukan memory dumping untuk mengambil hash password yang tersimpan.
Tools yang sering digunakan dalam skenario ini antara lain:
-
Mimikatz
-
Windows Credential Editor
-
Metasploit modules
Setelah hash diperoleh, penyerang dapat menggunakannya untuk melakukan autentikasi ke sistem lain dalam jaringan.
baca juga : Kernel Panic: Ketika Sistem Operasi Tiba-Tiba Lumpuh Total
Credential Dumping dari SAM Database
Selain memori, hash password juga dapat diperoleh dari Security Account Manager (SAM) database yang menyimpan informasi akun pengguna pada sistem Windows.
Jika penyerang memiliki hak akses administrator, mereka dapat menyalin database ini dan mengekstrak hash password dari dalamnya.
Dampak Serangan Pass-the-Hash
Serangan Pass-the-Hash dapat memberikan dampak serius terhadap keamanan jaringan organisasi.
Beberapa dampak utama antara lain:
1. Lateral Movement
Penyerang dapat berpindah dari satu sistem ke sistem lain dalam jaringan tanpa perlu mengetahui password.
2. Privilege Escalation
Jika hash milik administrator berhasil diperoleh, penyerang dapat mengambil alih kontrol penuh terhadap sistem.
3. Pengambilalihan Domain
Dalam lingkungan Active Directory, serangan ini dapat memungkinkan penyerang menguasai Domain Controller.
Menurut MITRE ATT&CK Framework, Pass-the-Hash merupakan teknik yang sering digunakan dalam tahap lateral movement oleh pelaku serangan tingkat lanjut (dikutip dari mitre.org).
Cara Mencegah Serangan Pass-the-Hash
Karena teknik ini tidak membutuhkan password asli, pencegahan Pass-the-Hash memerlukan pendekatan keamanan yang lebih kuat.
Gunakan Multi-Factor Authentication (MFA)
MFA menambahkan lapisan autentikasi tambahan selain password sehingga hash saja tidak cukup untuk mengakses sistem.
Batasi Hak Akses Administrator
Penggunaan akun administrator harus dibatasi hanya pada sistem yang benar-benar membutuhkan.
Semakin sedikit sistem yang menggunakan akun administrator, semakin kecil risiko penyebaran serangan.
Aktifkan Credential Guard
Windows menyediakan fitur Credential Guard yang melindungi kredensial dari proses dumping memori oleh malware atau penyerang.
Lakukan Monitoring Aktivitas Login
Sistem keamanan jaringan seperti SIEM dapat membantu mendeteksi aktivitas autentikasi yang mencurigakan, seperti login dari lokasi yang tidak biasa atau penggunaan kredensial yang tidak wajar.
baca juga : SSH Tunneling: Teknik Mengamankan Data dan Menembus Batas Jaringan
Kesimpulan
Pass-the-Hash merupakan teknik serangan berbahaya yang memungkinkan penyerang mengakses sistem tanpa mengetahui password asli pengguna. Dengan memanfaatkan hash autentikasi yang berhasil dicuri, penyerang dapat melakukan autentikasi ke berbagai sistem dalam jaringan dan bergerak secara lateral.
Serangan ini sering terjadi pada lingkungan Windows dan Active Directory, terutama jika sistem tidak memiliki perlindungan kredensial yang kuat. Oleh karena itu, organisasi perlu menerapkan langkah-langkah keamanan seperti multi-factor authentication, pembatasan hak akses administrator, serta monitoring aktivitas login untuk mengurangi risiko eksploitasi.
Memahami cara kerja Pass-the-Hash sangat penting bagi administrator sistem dan praktisi keamanan siber agar dapat mendeteksi serta mencegah serangan ini sebelum menimbulkan kerusakan yang lebih besar.
