Ярлыки в Windows: куда они ведут и могут ли быть опасны?

[CaptainFlint]

Хорошо бы ещё пояснить для несведущих, чем конкретно грозит получение зловредом упомянутой информации. А заодно и то, к чему приведёт блокировка NTLM. Если, например, к полной недоступности SMB-ресурсов с аутентификацией, то вряд ли это решение подойдёт многим пользователям.

[antgorka]

Полученной информацией злоумышленник может распоряжаться как ему вздумается и тут все зависит от конкретного случая. В некоторых случаях, это может привести к полной компрометации всей инфраструктуры компании.
Что же касается блокировки NTLM — об этом можно долго говорить, но это не тема моей публикации. Но, как Вы верно заметили, сперва нужно хорошенько подумать, что вы включаете/выключаете, прежде чем переходить к действиям.

[CaptainFlint]

Полученной информацией злоумышленник может распоряжаться как ему вздумается

Это и так очевидно, что он может распоряжаться, как ему вздумается, для этого токен и крадётся. Интересует, каких конкретно целей можно достичь, используя украденный таким образом NTLM-хэш. Можно ли с его помощью подделать аутентификацию на другом ресурсе, представившись там пользователем, чей токен мы спёрли? Или расшифровать пароль (способом более быстрым, чем перебор)? Или что?

Просто как я это вижу: всё, что спёр злоумышленник, мы и так добровольно раздаём всем SMB-серверам, к которым подключаемся. Если это так опасно, то как этот протокол вообще до сих пор жив?

[Tufed]

Расшифровать пароль пользователя из этого хеша, и использовать уже по прямому назначению: получение доступа туда, куда был доступ у пользователя.

[antgorka]

Для Pass-the-hash такой токен не подойдет. Но можно провести брутфорс хэша и узнать пароль пользователя. А чем вас не устраивает перебор? Современные фермы неплохо справляются с брутфорсом.
В сети есть множество публикаций на тему NTLM-Relay атак, можете изучит их или взглянуть на мой пример "SMB-Relay при просмотре каталога".
Да, это так опасно и, да, протокол все еще жив, ибо, обратную совместимость никто не отменял и нет так-то просто полностью отключить NTLM везде.

[CaptainFlint]

А чем вас не устраивает перебор? Современные фермы неплохо справляются с брутфорсом.

Просто задачи разного уровня сложности. Против перебора можно бороться усилением пароля. А если бы можно было вытащить без перебора (как, скажем, было в зашифрованных ZIP), то ситуация уже намного серьёзнее.

[Tufed]

Если мы говорим про SMB то это пароль от AD, и его вводит пользователь каждый день при запуске компьютера (а то и несколько десятков раз в день если отвлекается от места, а стол блокируется). Усложнение пароля приводит к усложнению его ввода, что отрицательно сказывается на удобстве пользователя. Даже админы AD не горят желанием вводить постоянно кривые сложно-запоминаемые и сложно-набираемые пароли. Исходя из этих данных можно упростить задачу, а используя несколько GPU всё до 14 символов подбирается за несколько часов с вероятностью до 90%.

[dopk]

Этой информации достаточно для доступа к smb ресурсам, доступным тому же пользователю. Администратору домена доступны шары C$ на всех компьютерах домена, можно заменить, изменить, добавить любой файл на любом компьютере сети.

[asmodeusta]

«Причин может быть множество, а последствия могут быть разными»

[mayorovp]

Получение зловредом упомянутой информации приведет к тому что он сможет авторизоваться уже на вашем компьютере по сети или на общем сетевом ресурсе от вашего имени (упомянутая атака SMBRelay). Кроме того, если вы используете слабый пароль — злоумышленник сможет найти его перебором.

От первой атаки можно защититься путем запрета NTLM на входящих соединениях — но от второй поможет только запрет исходящего NTLM.

Блокировка NTLM приведет к невозможности подключения к SMB-ресурсам за исключением тех что в домене или тех где разрешен анонимный доступ. SMB-ресурсы — это в основном сетевые папки и сетевые принтеры.

Если это так опасно, то как этот протокол вообще до сих пор жив?

По той же самой причине по которой его не получается отключить: слишком много существующих устройств его используют.

[CaptainFlint]

Спасибо, теперь понятнее. Как-то мимо меня эти проблемы прошли; ни разу не слышал, что даже простой SMB-коннект можно совершать лишь к тому серверу, которому доверяешь на сто процентов.

[mayorovp]

Атака на NTLM вот тут обсуждалась, вместе со способами защиты: https://habrahabr.ru/post/306810/

[tjomamokrenko]

А как на это реагируют антивирусы? На подобные ярлыки.

[Tufed]

Предположительно "никак", т.к. данный метод не содержит вирусной сигнатуры или вредоносной активности.

[antgorka]

Верно, никак. (На данный момент по крайней мере)

[ElvenSailor]

Скажем так, имея под рукой домен, NTLM можно нужно отключать везде. Проблемы могут начаться только с Legacy-устрйствами, например сетевыми принтерами-сканерами, которые умеют в SMB, но не умеют в Kerberos.
Как быть в таких случаях — зависит уже от ситуации.
Иногда вендор расщедривается на обновление прошивки.
Иногда можно отказаться от SMB вообще, если устройство может, к примеру, FTP, NFS и т.д.
Практически всегда можно заставить устройство складывать сканы куда-то, вместо того чтобы людям ходить на устройство.
Ну и напоследок, всегда остаётся радикальный вариант — «выкинь каку» :)

[mayorovp]

Такие устройства можно занести в белый список доверенных (ClientAllowedNTLMServers)

[Mingun]

Я правильно понимаю, что атака возможна, если для захода в каталог используется стандартный Проводник Windows? А если мы заходим, скажем, через Far, то «бояться нечего» (так как он не показывает иконки ярлыков)?

[antgorka]

Интересный вопрос, спасибо. Если только FAR не пытается (зачем-то) переходить по вышеупомянутым путям. Думаю, что через FAR бояться нечего.

[Frankenstine]

Возможно и Total Commander безопасен, если в настройках раздела «Значки» поставить точку в пункте «Показ значков» на «Только стандартные», или галочку «Если EXE/LNK не в сети».

[CaptainFlint]

Это относится к местоположению самого LNK-файла, но не того, куда ссылается значок. Так что TC безопасен, лишь если значки отключить совсем или оставить «только стандартные».

[Ohar]

Помимо злоумышленников эту штуку, кажется, можно использовать для получения статистики установок своего Windows-приложения. Очень грубой, конечно же, но тем не менее.

[Frankenstine]

Вы можете получить лишь статистику входа в директорию с ярлыком :)

[zemavo]

Вот еще другой пример — на торрент-трекере раздается якобы видеофайл, с которым на «в нагрузку» идет ярлык, которые запускает MKV уже как EXE — . Параметры запуска ярлыка

%ComSpec% /C START "Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv" "Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv"


Virustotal определяет ярлык как LNK.Exploit.Gen и что-то похожее — www.virustotal.com/ru/file/927abbbecb174f736e2f28a6a9b8f36a27a800dfe9bdd8d20fa16785a9ecd5a8/analysis/1505030233, и, судя по статистике трекера, этот файл успели скачать много тысяч пользователей.

[Lennonenko]

эмм, я не уверен, но мне кажется, что таким способом нельзя запустить файл, как .EXE
cmd поищет файлы Game.of.Thrones.S07E07.HDTV.x264-KILLERS.mkv.EXE, .COM, .BAT, .CMD и когда не найдёт, отдаст файл файловому менеджеру, который запустит стандартную ассоциацию, при отсутствии таковой выдаст стандартное «не является внутренней или внешней командой»

[zemavo]

Хм, ну я не рисковал запускать, но судя по тому же Вирустоталу, внутри MKV — майнер, как раз недавно про них была статья на GT.

P. S. Ссылку на сам вредонос я прикреплял к своему комментарию выше, но она не прошла модерацию, если хотите, могу Вам прислать как-то для изучения.

[Lennonenko]

да я и сам уже нашёл на kat.rip
да, и правда экзешник в MKV, и да, действительно ярлык запускает его, хотя я не понимаю, как это получается

[zemavo]

Кстати, при попытке залить сам ярлык на mega.nz туда выгрузился cmd.exe, не знаю должно ли так быть.