Pull to refresh

Comments 29

Хорошо бы ещё пояснить для несведущих, чем конкретно грозит получение зловредом упомянутой информации. А заодно и то, к чему приведёт блокировка NTLM. Если, например, к полной недоступности SMB-ресурсов с аутентификацией, то вряд ли это решение подойдёт многим пользователям.

Полученной информацией злоумышленник может распоряжаться как ему вздумается и тут все зависит от конкретного случая. В некоторых случаях, это может привести к полной компрометации всей инфраструктуры компании.
Что же касается блокировки NTLM — об этом можно долго говорить, но это не тема моей публикации. Но, как Вы верно заметили, сперва нужно хорошенько подумать, что вы включаете/выключаете, прежде чем переходить к действиям.

Полученной информацией злоумышленник может распоряжаться как ему вздумается
Это и так очевидно, что он может распоряжаться, как ему вздумается, для этого токен и крадётся. Интересует, каких конкретно целей можно достичь, используя украденный таким образом NTLM-хэш. Можно ли с его помощью подделать аутентификацию на другом ресурсе, представившись там пользователем, чей токен мы спёрли? Или расшифровать пароль (способом более быстрым, чем перебор)? Или что?

Просто как я это вижу: всё, что спёр злоумышленник, мы и так добровольно раздаём всем SMB-серверам, к которым подключаемся. Если это так опасно, то как этот протокол вообще до сих пор жив?

Расшифровать пароль пользователя из этого хеша, и использовать уже по прямому назначению: получение доступа туда, куда был доступ у пользователя.

Для Pass-the-hash такой токен не подойдет. Но можно провести брутфорс хэша и узнать пароль пользователя. А чем вас не устраивает перебор? Современные фермы неплохо справляются с брутфорсом.
В сети есть множество публикаций на тему NTLM-Relay атак, можете изучит их или взглянуть на мой пример "SMB-Relay при просмотре каталога".
Да, это так опасно и, да, протокол все еще жив, ибо, обратную совместимость никто не отменял и нет так-то просто полностью отключить NTLM везде.

А чем вас не устраивает перебор? Современные фермы неплохо справляются с брутфорсом.
Просто задачи разного уровня сложности. Против перебора можно бороться усилением пароля. А если бы можно было вытащить без перебора (как, скажем, было в зашифрованных ZIP), то ситуация уже намного серьёзнее.

Если мы говорим про SMB то это пароль от AD, и его вводит пользователь каждый день при запуске компьютера (а то и несколько десятков раз в день если отвлекается от места, а стол блокируется). Усложнение пароля приводит к усложнению его ввода, что отрицательно сказывается на удобстве пользователя. Даже админы AD не горят желанием вводить постоянно кривые сложно-запоминаемые и сложно-набираемые пароли. Исходя из этих данных можно упростить задачу, а используя несколько GPU всё до 14 символов подбирается за несколько часов с вероятностью до 90%.

Этой информации достаточно для доступа к smb ресурсам, доступным тому же пользователю. Администратору домена доступны шары C$ на всех компьютерах домена, можно заменить, изменить, добавить любой файл на любом компьютере сети.
«Причин может быть множество, а последствия могут быть разными»

Получение зловредом упомянутой информации приведет к тому что он сможет авторизоваться уже на вашем компьютере по сети или на общем сетевом ресурсе от вашего имени (упомянутая атака SMBRelay). Кроме того, если вы используете слабый пароль — злоумышленник сможет найти его перебором.


От первой атаки можно защититься путем запрета NTLM на входящих соединениях — но от второй поможет только запрет исходящего NTLM.


Блокировка NTLM приведет к невозможности подключения к SMB-ресурсам за исключением тех что в домене или тех где разрешен анонимный доступ. SMB-ресурсы — это в основном сетевые папки и сетевые принтеры.


Если это так опасно, то как этот протокол вообще до сих пор жив?

По той же самой причине по которой его не получается отключить: слишком много существующих устройств его используют.

Спасибо, теперь понятнее. Как-то мимо меня эти проблемы прошли; ни разу не слышал, что даже простой SMB-коннект можно совершать лишь к тому серверу, которому доверяешь на сто процентов.

Предположительно "никак", т.к. данный метод не содержит вирусной сигнатуры или вредоносной активности.

Верно, никак. (На данный момент по крайней мере)

UFO landed and left these words here
Скажем так, имея под рукой домен, NTLM можно нужно отключать везде. Проблемы могут начаться только с Legacy-устрйствами, например сетевыми принтерами-сканерами, которые умеют в SMB, но не умеют в Kerberos.
Как быть в таких случаях — зависит уже от ситуации.
Иногда вендор расщедривается на обновление прошивки.
Иногда можно отказаться от SMB вообще, если устройство может, к примеру, FTP, NFS и т.д.
Практически всегда можно заставить устройство складывать сканы куда-то, вместо того чтобы людям ходить на устройство.
Ну и напоследок, всегда остаётся радикальный вариант — «выкинь каку» :)

Такие устройства можно занести в белый список доверенных (ClientAllowedNTLMServers)

Я правильно понимаю, что атака возможна, если для захода в каталог используется стандартный Проводник Windows? А если мы заходим, скажем, через Far, то «бояться нечего» (так как он не показывает иконки ярлыков)?

Интересный вопрос, спасибо. Если только FAR не пытается (зачем-то) переходить по вышеупомянутым путям. Думаю, что через FAR бояться нечего.

Возможно и Total Commander безопасен, если в настройках раздела «Значки» поставить точку в пункте «Показ значков» на «Только стандартные», или галочку «Если EXE/LNK не в сети».
Это относится к местоположению самого LNK-файла, но не того, куда ссылается значок. Так что TC безопасен, лишь если значки отключить совсем или оставить «только стандартные».
Помимо злоумышленников эту штуку, кажется, можно использовать для получения статистики установок своего Windows-приложения. Очень грубой, конечно же, но тем не менее.
Вы можете получить лишь статистику входа в директорию с ярлыком :)
Вот еще другой пример — на торрент-трекере раздается якобы видеофайл, с которым на «в нагрузку» идет ярлык, которые запускает MKV уже как EXE — . Параметры запуска ярлыка

%ComSpec% /C START "Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv" "Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv"


Virustotal определяет ярлык как LNK.Exploit.Gen и что-то похожее — www.virustotal.com/ru/file/927abbbecb174f736e2f28a6a9b8f36a27a800dfe9bdd8d20fa16785a9ecd5a8/analysis/1505030233, и, судя по статистике трекера, этот файл успели скачать много тысяч пользователей.
эмм, я не уверен, но мне кажется, что таким способом нельзя запустить файл, как .EXE
cmd поищет файлы Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv.EXE, .COM, .BAT, .CMD и когда не найдёт, отдаст файл файловому менеджеру, который запустит стандартную ассоциацию, при отсутствии таковой выдаст стандартное «не является внутренней или внешней командой»
Хм, ну я не рисковал запускать, но судя по тому же Вирустоталу, внутри MKV — майнер, как раз недавно про них была статья на GT.

P. S. Ссылку на сам вредонос я прикреплял к своему комментарию выше, но она не прошла модерацию, если хотите, могу Вам прислать как-то для изучения.
да я и сам уже нашёл на kat.rip
да, и правда экзешник в MKV, и да, действительно ярлык запускает его, хотя я не понимаю, как это получается
Кстати, при попытке залить сам ярлык на mega.nz туда выгрузился cmd.exe, не знаю должно ли так быть.
Only those users with full accounts are able to leave comments. Log in, please.