Статья расскажет о том, какие Relay атаки существуют на сегодняшний день и как их воспроизводить, какие основные инструменты для проведения данных атак при тестировании на проникновение можно использовать, а также будет рассмотрена Relay атака на Active Directory.
Что такое Relay
Relay атаки известны достаточно давно. Если ввести в поисковике "Relay attacks", то можно найти много страниц, которые были созданы около 20 лет назад. В компьютерной литературе термин Relay используется для обозначения процесса повторной передачи данных. В этом процессе информацию для повторения просто пересылают на указанный адрес. Тот, кто передаёт информацию, не обязательно должен её разбирать семантически или структурно, он просто является посредником. Определение достаточно простое, но реализация порой сопряжена с большим количеством особенностей и ограничений.
Основным условием проведения атаки является то, что атакующий перед началом "повторения" должен находиться посередине соединения, то есть контролировать или хотя бы наблюдать процесс передачи информации. Для такого состояния существует отдельный термин MitM. По факту это еще одна атака, которая используется для запуска Relay.
Почему Relay атаки существуют и где применяются? Любая информационная система должна регламентировать правила безопасной передачи информации между участниками обмена. Правила должны включать как защиту данных от утечки, так и правила разграничения доступа к информации между участниками системы. Первая задача в системах обычно решается с помощью криптографических методов преобразования, а вторая за счет использования специальных идентификаторов, которые в рамках системы имеют уникальные характеристики и позволяют идентифицировать учетные данные пользователя, который владеет идентификатором. Очень часто эти идентификаторы используются для реализации механизмов криптографии.
Relay атака подразумевает просто процесс повторения передачи данных, то есть ее шаблон хорошо подходит для того, чтобы влиять на состояние систем, даже не имея к ним прямого доступа. Особенно это актуально, если в системе используется криптографические методы защиты. Однако, если правильно применить атаку, то можно получать доступ к системе, запускать механизмы обработки данных, вызывать проблемы в функционировании систем. Известны примеры успешных Relay атак на корпоративные системы управления доступом, системы NFS, и т.д. В статье будем фокусироваться на Relay атаках, которые применимы для систем под управлением Windows AD.
Windows AD
Relay атаки Windows AD существуют практически столько же, как и сама система. Возможность их проведения существует потому, что системы использует свой собственный механизм SSO. Данный механизм позволяет пользователям обращаться к ресурсам системы. При правильном "направлении" запросов на получение доступа к ресурсу за счёт SSO, атакующий может получить доступ к ресурсу от имени пользователя, которого он "направил". При этом атакующему не нужно будет знать ни учетных данных, ни идентификаторов, которые используются в системе.
Официальной систематизации при описании Relay атак на Windows AD нет, поэтому будем использовать следующую классификацию:
-
Классческие Relay атаки данные пересылаются только по сети, без дополнительной обработки хоста
-
Гибридные Relay атаки Rouge Potato, Relay Potato
Попробуем разобраться, что каждая атака из себя представляет.
Атаки и инструменты
Классические Relay атаки для работы атаки необходимо:
-
Просканировать сеть и получить список сервисов. Нужны расшаренные директории через SMB, HTTP сервера, LDAP сервера.
-
Установить слушателя для локальных соединений или провести атаку на маршрутизацию данных в сети
Набор инструментов, которые можно использовать:
Успех атаки зависит от того, как настроены перечисленные выше сервисы. Все инструменты заточены на использование при схеме авторизации через NTLM протокол. Таким образом, основная задача при проведении атаки это переповторение процедуры обмена NTLM Challenge. (Не будет работать при использовании процедуры подписи запросов).
Возможные вектора атак: SMB->SMB,HTTP/HTTPs, LDAP/LDAPs, MSSQL, POP3, IMAP/s, SMTP.
Сценарий атаки:
Пользовательская система не содержит известных уязвимостей. Пользователь периодически пользуется HTTP веб-сервером и файловым обменником. Атакующий проводит атаку типа ARP Cache Poison. В bettercap можно запустить команду так:
set arp.spoof.targets 192.168.56.15set arp.spoof.internal truearp.ban on
В результате все запросы, которые отправляет машина
пользователя, передает данные через машину атакующего. Можно
запустить инструмент ntlmrelayx из набора скриптов
impacket и ждать обращения на обменник:
python3 ntlmrelayx.py -t smb://192.168.56.25 -smb2support -socks
В итоге у нас появится командная строка ntlmrelayx
и можно дампить данные и отправлять команды в целевую систему от
имени пользователя.
Гибридные атаки модифицированная версия атак, которая позволяет задействовать дополнительные механизмы ОС для управления процедурой авторизации.
Rouge Potato атака использует методы делегирования дескриптора
безопасности. Для проведения атаки используется механизм DCOM OXID
Resolver запросы к нему заворачиваются через named
pipes и в результате атакующий получает возможность
запускать команды в системе от имени пользователя "NETWORK SERVICE"
в дальнейшем токен можно проапгрейтить до токена "SYSTEM".
Атаку можно провести с помощью инструмента RougePotato. Инструмент используется для повышения привилегий в системе, то есть Relay происходит только на уровне механизмов ОС. Провести эту атаку без хотя бы минимального доступа к командной строке ОС не получится.
Remote Potato модификация атаки Remote Potato, где обходится механизм запрета на запрос данных из ресурса без авторизации посредством DCOM механизма ResolveOxid2. Для этой атаки также необходимо иметь минимальный доступ к системе, так как при процедуре запроса токена происходит обращение к сервису через локальный IXOD Resolver.
Заключение
Несмотря на то, что Relay атаки известны уже давно, на данный момент они остаются все еще актуальными для информационных систем. В частности, администраторам безопасности Active Directory рекомендуется включить подпись запросов NTLM протокола во избежании взлома системы с помощью данного метода.
Статью подготовил Александр Колесников в рамках курса Пентест. Практика тестирования на проникновение. Если вам интересно узнать больше о формате и программе обучения, приглашаем на день открытых дверей онлайн.
