Red Team Field NotesPentest · Adversary Simulation · Validation
Pass-the-Hash et mouvement latéral

Pass-the-Hash : concept et contrôle

Concepts NTLM/Kerberos, validation en lab, préconditions, détection et réduction des chemins latéraux.

Concept

Pass-the-Hash réutilise un secret NTLM sans connaître le mot de passe en clair. Le risque apparaît lorsqu’un hash est accessible, que NTLM est accepté et que le compte possède des droits sur une autre machine.

Préconditions

Validation sûre

Utilise deux VMs et un compte de domaine synthétique. Le test doit prouver l’authentification vers une ressource canari, puis déclencher la rotation du compte de lab.

Le portail ne fournit pas de commandes Impacket/Mimikatz de réutilisation de hash.

Détection

Corrèle les connexions réseau, Event IDs 4624/4648, NTLM Operational, création de services, WMI/WinRM et télémétrie EDR. Analyse le type de logon, le compte, la source et la cible.

Réduction

Références officielles