Альтернатива NTLM-Relay
При проведении внутреннего тестирования на проникновение в сетях Microsoft первостепенной целью атаки, разумеется, является Microsoft Active Directory, а одним из возможных и перспективных сценариев реализации успешной атаки на компьютеры в домене является NTLM-Relay. Суть атаки NTLM-Relay сводится к тому, чтобы вмешаться в процесс аутентификации по протоколу NTLM и получить доступ к стороннему ресурсу с привилегиями атакуемого пользователя. Атака может быть реализована в отношении любого протокола, поддерживающего NTLM-авторизацию (SMB, HTTP, LDAP и т.д.).
Если копнуть несколько глубже в практическую плоскость, тогда можно обнаружить следующие ограничения при проведении атаки NTLM-Relay:
- Невозможность провести атаку в отношении системы, с которой пришел запрос авторизации после установки обновления безопасности MS08-068 (для волосатых осей) или при использовании более поздних версий ОС Windows (ограничение не действует в случае объединения систем в кластер).
- "Ограничение на один хоп", т.е. после успешной атаки в отношении некоторого ресурса, невозможно дальнейшее использование привилегий атакованного пользователя с этого ресурса к смежным компонентам сети (общее ограничение NTLM). Можно провести повторную атаку NTLM-Relay к другому ресурсу, но нельзя использовать полученный токен доступа для развития атаки по сети.
- Рабочий сценарий проведения атаки NTLM-Relay предполагает, что атакуемый пользователь обладает правами администратора на ресурсе, в отношении которого производится атака [1,2]. В противном случае атакующий ограничен функционалом доступных наколенных и зачастую сырых решений, что очень сильно затрудняет его действия.
- NTLM-Relay относится к "шумным" сценариям проведения атаки, что может привлечь внимание соответствующих защитных систем.
Как блондинки качают деньги из воздуха
На проводимом сейчас банковском форуме в Магнитогорске, Евгения Поцелуевская наглядно продемонстрировала, что взломать, а затем и монетизировать атаку на систему дистанционного банковского обслуживания не сложнее, чем овладеть кун-фу по приготовлению кофе :)
Инфофорум 2013: презентация с мастер-класса
В конце прошлого года компанией Fox-IT был опубликован всесторонний отчет, посвященный расследованию инцидента безопасности, который в последствии привел к банкротству голландского центра сертификации DigiNotar. Меня заинтересовал этот документ тем, что в нем детально рассматриваются технические подробности успешно реализованной атаки со стороны сети Интернет, а также приведено описание атакуемой информационной системы. Нужно сказать, что мне всегда было любопытно узнать, как работают коллеги по цеху, которые находятся несколько в другой плоскости относительно белых шляп. Сопоставить используемые методы и подходы, сравнить используемый инструментарий и т.п.
Детально изучив отчет Fox-IT, я постарался максимально близко восстановить хронологию событий и приблизительно воссоздал общую архитектуру сети DigiNotar на тестовом полигоне. Что-то пришлось собирать буквально по обрывкам фраз, что-то пришлось додумывать, основываясь на неких предположениях. В конечном итоге плоды этой аналитической работы легли в основу мастер-класса, который прошел на Инфофоруме 2013, где я совместно с аудиторией повторил подвиги черных шляп :) Презентация с выступления приведена ниже.