LLMNR/NBT-NS Poisoning

LLMNR & NBT-NS Primer

Link-Local Multicast Name Resolution (LLMNR) và NetBIOS Name Service (NBT-NS) là các component của Windows đóng vai trò như "resolver" được sử dụng để xác định các hosts khi DNS lỗi. Nếu có một máy đang cố gắng phân giải một host nhưng DNS lại phân giải không thành công, máy này sẽ cố gắng yêu cầu tất cả các máy khác trong mạng nội bộ lấy địa chỉ host thông qua LLMNR. LLMNR dựa trên định dạng Domain Name System (DNS) và cho phép các máy trên cùng một internal network thực hiện resolve cho các máy khác. LLMNR sử dụng port 5355 (UDP) thay vì port DNS mặc định là 53 . Nếu LLMNR không thành công, NBT-NS sẽ được sử dụng. NBT-NS sẽ xác định hệ thống qua NetBIOS name qua network. NBT-NS sử dụng port 137 (DNS).

Điểm mấu chốt ở đây là khi LLMNR / NBT-NS được sử dụng để resolve, thì BẤT KỲ máy nào trong network đều có thể trả lời. Đây là nơi ta đến với Responder để poison những requests này. Với quyền truy cập mạng ta có thể spoof một nguồn resolve trong broadcast domain bằng cách response lại LLMNR và NBT-NS như thể ta có thể xác định được request của nạn nhân. Việc poinson này thực hiện để khiến nạn nhân communicate với máy của attacker bằng cách mình giả vờ viết câu trả lời cho request này. Nếu host được yêu cầu resolve hoặc hành động xác thực, attacker có thể capture được NetNTLM hash và brute force attack để lấy được cleartext password. Request capture này có thể sử dụng để relay để truy cập vào các máy khác hoặc sử dụng các protocol khác (ví dụ như LDAP) trên máy đó. LLMNR/NBNS spoofing kết hợp với việc thiếu SMB signing, attack có thể chiếm được administrator trên một máy trong domain.

Luồng attack:

  1. Victim cố gắng kết nối với máy in tại \\print01.inlanefreight.local, nhưng gõ sai thành \\printer01.inlanefreight.local .

  2. DNS server phản hồi là không nhận diện được hostname này.

  3. Sau đó, máy của victim sẽ broadcast ra toàn bộ local network để hỏi xem có ai biết vị trí của \\printer01.inlanefreight.local không.

  4. Attacker đang chạy Responder phản hồi lại cho máy của victim \\printer01.inlanefreight.local đây là máy đang tìm kiếm.

  5. Máy của victim sẽ tin vào response này và gửi yêu cầu xác thực bao gồm username và NTLMv2 password hash cho attacker.

  6. Hash này có thể sử dụng để crack hoặc sử dụng để SMB Relay.

TTPs

Attacker sẽ thực hiện các hành động này để collect thông tin xác thực gửi qua network dưới dạng NTLMv1/NTLMv2 password hashed. NTLMv1 và NTLMv2 là các protocol xác thực sử dụng hàm băm LM hoặc NT. Sau đó attacker sẽ lấy hash này để crack với các công cụ như Hashcat hoặc John với mục tiêu là lấy cleartext password của tài khoản để lấy foothold ban đầu hoặc leo quyền nếu tài khoản đó có nhiều quyền hơn.

Các tools có thể sử dụng để LLMNR & NBT-NS poisoning:

Tool

Description

Responder

sử dụng để poison LLMNR, NBT-NS, MDNS và nhiều chức năng khác

Inveigh

MITM cross-platform sử dụng để spoofing và poisoning attack

Metasploit

Tool mà ai cũng biết nó để làm gì

Các tools này thường sẽ được cài đặt và sử dụng trên linux, Responder và Inveigh được sử dụng để attack các protocols sau:

  • LLMNR

  • DNS

  • MDNS

  • NBNS

  • DHCP

  • ICMP

  • HTTP

  • HTTPS

  • SMB

  • LDAP

  • WebDAV

  • Proxy Auth

Responder support cho:

  • MSSQL

  • DCE-RPC

  • FTP, POP3, IMAP, and SMTP auth

Usage

Với configuration này, Responder sẽ listen và answer bất kì requests nào mà nó thấy. Responder sẽ trả kết quả ra console và ghi log vào thư mục /usr/share/responder/logs.

Hashed được lưu theo format (MODULE_NAME)-(HASH_TYPE)-(CLIENT_IP).txt và một hash được trả ra console nếu như -v không enable. Ví dụ một file log kiểu SMB-NTLMv2-SSP-172.16.5.25. Hashed cũng được lưu trữ trong SQLite db được cấu hình trong file Responder.conf nằm trong /usr/share/responder.

Responder Logs list:

Nếu Responder capture được các hashed, ta có thể thấy được lưu với mỗi host và protocol như trên.

Khi đã có các hashed, attacker sẽ sử dụng Hashcat với hard mode 5600 cho NTLMv2 hashed đã capture từ Responder. Nếu có NTLMv1 hashed và các loại hashed khác có thể sử dụng Hashcat example hashes, Cracking Passwords With Hashcat.

Cracking an NTLMv2 Hash

Inveigh - Overview

Nếu foothold bắt đầu từ host Windows, attacker sẽ sử dụng Inveigh thay vì Responder nhưng được code bằng PowerShell và C#. Inveigh có thể listen cả IPv4/IPv6 và nhiều protocol khác. Bao gồm LLMNR, DNS, mDNS, NBNS, DHCPv6, ICMPv6, HTTP, HTTPS, SMB, LDAP, WebDAV, và Proxy Auth.

Tham khảo wiki: https://github.com/Kevin-Robertson/Inveigh/wiki/Parameters

Usage

Sử dụng Inveigh để LLMNR và NBNS spoofing, output ra console và ghi vào file - Parameter Help

C# Inveigh (InveighZero)

Phiên bản PowerShell của Inveigh là phiên bản gốc và không còn được update nữa. Tác giả đã port hầu hết source code từ phiên bản C# sang PowerShell sau này.

Trong interactive console cho phép tương tác bằng lệnh, ví dụ như GET NTLMV2UNIQUE , GET NTLMV2USERNAMES để xem các users được capture.

Remediation

Trong Mitre ATT&CK có nhắc đến technique ID: T1557.001: Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay.

Đầu tiên ta cần phải disable LLMNR và NBT-NS. Group Policy --> Computer Configuration --> Administrative Templates --> Network --> DNS Client và bật Turn OFF Multicast Name Resolution

Với NBT-NS thì không thể disable ở Group Policy nhưng có thể disable trên mỗi máy.

  1. Mở Network and Sharing Center ở trong Control Panel.

  2. Click vào Change adapter settings.

  3. Chọn apapter kết nối tới domain.

  4. Double-click Internet Protocol Version 4 (TCP/IPv4), sau đó chọn Advanced.

  5. Chuyển sang tab WINS cuối cùng là chọn Disable NetBIOS over TCP/IP.

Mặc dù không thể disable trực tiếp NBT-NS từ GPO nhưng ta có thể tạo file script PowerShell trong Computer Configuration --> Windows Settings --> Script (Startup/Shutdown) --> Startup

Trong Local Group Policy Editor, double-click vào Startup chọn tab PowerShell scripts và với For this GPO, run scripts in the following order Run Windows PowerShell scripts first.

Để đẩy script này thực thi toàn bộ hosts trong domain ta cần tạo một GPO sử dụng Group Policy Management trên domain controller và lưu trữ file này trên SYSVOL trong folder file command UNC path:

\\inlanefreight.local\SYSVOL\INLANEFREIGHT.LOCAL\scripts

Một khi GPO được áp dụng cho các OU cụ thể và các machines đó restarted, script sẽ chạy ở lần boot tiếp theo và disable NBT-NS.

Một số cách khắc phục khác như:

  • Filter traffic hoặc block LLMNR/NetBIOS.

  • Luôn luôn bật SMB Signing để prevent NTLM relay attack.

PreviousInitial Enumeration of the DomainNextEnumerating & Retrieving Password Policies

Last updated