Базовые атаки на AD. Разбираем NTLM Relay и NTDS dumping

Содержание статьи

NTLM Relay
Reaper
Меры предотвращения
NTDS dumping
CrownJewel-1
CrownJewel-2
Меры предупреждения
Выводы

В этой статье я продемонстрирую две атаки на Active Directory, опишу используемые злоумышленниками утилиты и расскажу о ключевых индикаторах, на которые стоит обратить внимание при возникновении подозрительной активности. Практические задания будем выполнять на лабораторных работах Sherlocks с платформы Hack The Box.

info

Эта статья — продолжение материала «Базовые атаки на AD. Разбираем Kerberoasting, AS-REP Roasting и LLMNR Poisoning».

NTLM Relay

Windows New Technology LAN Manager (NTLM) — это название набора протоколов Active Directory, обеспечивающих аутентификацию в сети. Для поддержки обратной совместимости NTLM используется преимущественно в системах, не поддерживающих аутентификацию Kerberos.

Когда злоумышленник перехватывает сетевой трафик с помощью атаки LLMNR Poisoning, он может также попытаться ретранслировать перехваченное сообщение для аутентификации в той или иной службе от имени жертвы.

Такая продвинутая версия LLMNR-отравления будет называться атакой NTLM Relay, она соотносится с подтехникой T1557.001 в MITRE ATT&CK. Возможность такой атаки обусловлена тем, что сам NTLM не обеспечивает безопасности сеанса.

Утилита ntlmrelayx из набора Impacket — инструмент, которым чаще всего пользуются для подобных атак.

Reaper

Лабораторная работа Reaper из раздела Sherlocks от Hack The Box поможет на практике разобрать инцидент, связанный с этой атакой.

В описании лабораторной рассказывается о подозрительном входе в систему, на который необходимо срочно обратить внимание. Подробности заключаются в том, что IP-адрес и имя исходной рабочей станции не совпадают.

Для определения ретрансляции NTLM в сети понадобятся журналы сетевой телеметрии и аудита входа в систему. Подход к обнаружению NTLM Relay достаточно необычен, поскольку требует сопоставления IP-адресов с именами хостов. В крупных корпоративных средах будет тяжело следить за этим, так как список IP-адресов достаточно большой. Телеметрия сети в таком случае сильно упростит определение скомпрометированного хоста.

Reaper предоставляет дамп сетевого трафика компании, с его помощью можно установить основные конечные точки в виде внутренних IP-адресов.

Просмотрим статистику .pcap-файла, определим внутрикорпоративную сеть и уберем из подозреваемых различные широковещательные адреса и шлюзы (IP-адреса, заканчивающиеся на .1, .2 и .255).

Получить имена хостов можно с использованием службы имен NetBios и одноименного фильтра в Wireshark — nbns.

Сразу же наблюдаем небольшой список имен хостов:

FORELA-WKSTN001 для 172.17.79.129.
FORELA-WKSTN002 для 172.17.79.136.
Неизвестное устройство для 172.17.79.135.

Добавим фильтр для SMB-трафика, входящего и исходящего от подозрительного хоста: smb2 and ip.addr == 172.17.79.135. Пока что для нас это машина злоумышленника, работающая по принципу MITM.

Видно, что пользователь arthur.kyle участвовал в процессе аутентификации с подозрительного IP-адреса. Также можно наблюдать IP-адрес Wkstn002. Судя по трафику, пользователь является учеткой как раз этого хоста, чьи данные и были украдены.

В следующем потоке пакетов можно заметить, что аутентификация учетной записи пользователя arthur.kyle осуществляется с двух разных компьютеров (один — легитимный, второй — MITM).

Проанализируем предоставленный журнал событий безопасности от WKSTN001, предварительно отфильтровав события с идентификатором 4624.

Зная из анализа .pcap примерные временные рамки, не составит большого труда найти подходящее событие и изучить его.

Отметим несколько индикаторов того, что атака NTLM Relay была проведена успешно:

идентификатор безопасности: NULL SID;
LogonGUID имеет значение NULL;
несовпадение в имени рабочей станции и IP-адресе источника (на исходной рабочей станции указано WKSTN002, а в качестве IP-адреса видим 172.17.79.135);
процесс входа: NtLmSsp.

Обнаруженное нами событие подтверждает предположение о том, что неизвестный хост украл учетные данные WKSTN002 и использовал их для входа на WKSTN001.

Меры предотвращения

По возможности необходимо отключить аутентификацию NTLM и использовать более надежные протоколы, такие как Kerberos. Чтобы исключить перехват аутентификации через NTLM, во всем домене необходимо принудительно использовать подпись SMB. Такая подпись защищает сообщения, передаваемые между клиентом и сервером во время связи NTLM, предотвращая перехват сообщений проверки подлинности.

NTDS dumping

Хранилище информации о доменах в службе каталогов Active Directory реализовано в файле NTDS.dit, который расположен по умолчанию в директории %SystemRoot%\ntds\ на контроллере домена. Этот файл содержит важные данные о домене, включая хеши паролей пользователей, что делает его привлекательной целью для атак.

Чтобы получить доступ к файлу NTDS.dit, злоумышленнику необходимо обладать административными правами в системе. Если он получит доступ к контроллеру домена, то сможет извлечь файл NTDS.dit вместе с данными из ключа реестра HKEY_LOCAL_MACHINE\SYSTEM, содержащего все необходимые сведения для дешифровки данных NTDS.dit.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Пакет из PyPI похитил у разработчиков тысячи ключей AWS