Comments 29
Полученной информацией злоумышленник может распоряжаться как ему вздумается и тут все зависит от конкретного случая. В некоторых случаях, это может привести к полной компрометации всей инфраструктуры компании.
Что же касается блокировки NTLM — об этом можно долго говорить, но это не тема моей публикации. Но, как Вы верно заметили, сперва нужно хорошенько подумать, что вы включаете/выключаете, прежде чем переходить к действиям.
Полученной информацией злоумышленник может распоряжаться как ему вздумаетсяЭто и так очевидно, что он может распоряжаться, как ему вздумается, для этого токен и крадётся. Интересует, каких конкретно целей можно достичь, используя украденный таким образом NTLM-хэш. Можно ли с его помощью подделать аутентификацию на другом ресурсе, представившись там пользователем, чей токен мы спёрли? Или расшифровать пароль (способом более быстрым, чем перебор)? Или что?
Просто как я это вижу: всё, что спёр злоумышленник, мы и так добровольно раздаём всем SMB-серверам, к которым подключаемся. Если это так опасно, то как этот протокол вообще до сих пор жив?
Расшифровать пароль пользователя из этого хеша, и использовать уже по прямому назначению: получение доступа туда, куда был доступ у пользователя.
Для Pass-the-hash такой токен не подойдет. Но можно провести брутфорс хэша и узнать пароль пользователя. А чем вас не устраивает перебор? Современные фермы неплохо справляются с брутфорсом.
В сети есть множество публикаций на тему NTLM-Relay атак, можете изучит их или взглянуть на мой пример "SMB-Relay при просмотре каталога".
Да, это так опасно и, да, протокол все еще жив, ибо, обратную совместимость никто не отменял и нет так-то просто полностью отключить NTLM везде.
А чем вас не устраивает перебор? Современные фермы неплохо справляются с брутфорсом.Просто задачи разного уровня сложности. Против перебора можно бороться усилением пароля. А если бы можно было вытащить без перебора (как, скажем, было в зашифрованных ZIP), то ситуация уже намного серьёзнее.
Если мы говорим про SMB то это пароль от AD, и его вводит пользователь каждый день при запуске компьютера (а то и несколько десятков раз в день если отвлекается от места, а стол блокируется). Усложнение пароля приводит к усложнению его ввода, что отрицательно сказывается на удобстве пользователя. Даже админы AD не горят желанием вводить постоянно кривые сложно-запоминаемые и сложно-набираемые пароли. Исходя из этих данных можно упростить задачу, а используя несколько GPU всё до 14 символов подбирается за несколько часов с вероятностью до 90%.
Получение зловредом упомянутой информации приведет к тому что он сможет авторизоваться уже на вашем компьютере по сети или на общем сетевом ресурсе от вашего имени (упомянутая атака SMBRelay). Кроме того, если вы используете слабый пароль — злоумышленник сможет найти его перебором.
От первой атаки можно защититься путем запрета NTLM на входящих соединениях — но от второй поможет только запрет исходящего NTLM.
Блокировка NTLM приведет к невозможности подключения к SMB-ресурсам за исключением тех что в домене или тех где разрешен анонимный доступ. SMB-ресурсы — это в основном сетевые папки и сетевые принтеры.
Если это так опасно, то как этот протокол вообще до сих пор жив?
По той же самой причине по которой его не получается отключить: слишком много существующих устройств его используют.
Атака на NTLM вот тут обсуждалась, вместе со способами защиты: https://habrahabr.ru/post/306810/
Как быть в таких случаях — зависит уже от ситуации.
Иногда вендор расщедривается на обновление прошивки.
Иногда можно отказаться от SMB вообще, если устройство может, к примеру, FTP, NFS и т.д.
Практически всегда можно заставить устройство складывать сканы куда-то, вместо того чтобы людям ходить на устройство.
Ну и напоследок, всегда остаётся радикальный вариант — «выкинь каку» :)
Я правильно понимаю, что атака возможна, если для захода в каталог используется стандартный Проводник Windows? А если мы заходим, скажем, через Far, то «бояться нечего» (так как он не показывает иконки ярлыков)?
Интересный вопрос, спасибо. Если только FAR не пытается (зачем-то) переходить по вышеупомянутым путям. Думаю, что через FAR бояться нечего.
%ComSpec% /C START "Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv" "Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv"
Virustotal определяет ярлык как LNK.Exploit.Gen и что-то похожее — www.virustotal.com/ru/file/927abbbecb174f736e2f28a6a9b8f36a27a800dfe9bdd8d20fa16785a9ecd5a8/analysis/1505030233, и, судя по статистике трекера, этот файл успели скачать много тысяч пользователей.
cmd поищет файлы Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv.EXE, .COM, .BAT, .CMD и когда не найдёт, отдаст файл файловому менеджеру, который запустит стандартную ассоциацию, при отсутствии таковой выдаст стандартное «не является внутренней или внешней командой»
P. S. Ссылку на сам вредонос я прикреплял к своему комментарию выше, но она не прошла модерацию, если хотите, могу Вам прислать как-то для изучения.
Ярлыки в Windows: куда они ведут и могут ли быть опасны?