PoisonedCredentials Lab
{width=“6.267716535433071in”
height=“1.3333333333333333in”}
{width=“6.267716535433071in”
height=“3.8194444444444446in”}
El equipo de seguridad de su organización ha detectado un aumento en la actividad sospechosa de la red.
Existe la preocupación de que puedan estar ocurriendo ataques de envenenamiento LLMNR (Link-Local Multicast Name Resolution) y NBT-NS (NetBIOS Name Service) dentro de su red.
Estos ataques son conocidos por explotar estos protocolos para interceptar el tráfico de la red y potencialmente comprometer las credenciales del usuario.
Su tarea es investigar los registros de la red y examinar el tráfico de red capturado.
Introducción
En este laboratorio, profundizamos en un incidente de seguridad de red simulado que involucra credenciales envenenadas, donde los atacantes explotan vulnerabilidades Link-Local Multicast Name Resolution (LLMNR) y NetBIOS Name Service (NBT-NS) protocolos.
Estos protocolos, si bien están diseñados para ayudar a la resolución de nombres en redes locales, son inherentemente vulnerables debido a su dependencia de consultas de transmisión y la falta de una autenticación sólida.
Los ciberdelincuentes a menudo explotan estas debilidades para actuar man-in-the-middle attacks, redirigir el tráfico y recopilar información confidencial, como las credenciales del usuario.
El escenario comienza con un aumento en la actividad sospechosa de la red detectada por el equipo de seguridad de la organización.
El análisis inicial indica el uso de poisoning attacks targeting LLMNR y NBT-NS para interceptar y manipular el tráfico legítimo de la red.
Utilizando la poderosa herramienta forense de red WiresharkAnalizamos el tráfico de red capturado para identificar la máquina maliciosa, descubrir el alcance del ataque y rastrear las cuentas y los sistemas comprometidos.
A lo largo de este tutorial, investigamos metódicamente aspectos clave del ataque, incluida la identificación de consultas envenenadas, el rastreo de la dirección IP del atacante y el análisis SMB intentos de autenticación.
El objetivo es proporcionar una comprensión integral de cómo se desarrollan dichos ataques, equiparlo con las habilidades para detectar incidentes similares en escenarios del mundo real y enfatizar la importancia de proteger los protocolos de red vulnerables para proteger los recursos críticos y las credenciales de los usuarios.
Análisis
En el contexto del incidente descrito en el escenario, el atacante inició sus acciones aprovechando el tráfico de red benigno de máquinas legítimas. ¿Puede identificar la consulta mal escrita específica realizada por la máquina con la dirección IP 192.168.232.162?
Centrarse en las consultas LLMNR desde la dirección IP 192.168.232.162. ¿Ha filtrado el tráfico de red en Wireshark para mostrar solo este tipo de tráfico específico?
Utilice el filtro de pantalla de Wireshark para aislar el tráfico LLMNR de la IP 192.168.232.162. Intente utilizar un filtro como llmnr and ip.src == 192.168.232.162 para hacer esto más fácil.
Después de aplicar el filtro, debería ver una consulta LLMNR en los detalles del paquete en Queries campo.
{width=“6.267716535433071in”
height=“2.0555555555555554in”}
{width=“6.267716535433071in”
height=“3.0277777777777777in”}
Link-Local Multicast Name Resolution (LLMNR) es un protocolo que permite a las computadoras de una red local resolver nombres en direcciones IP sin depender de un servidor DNS central.
Si bien es útil en entornos donde el DNS no está disponible, los atacantes también pueden explotarlo debido a su falta de mecanismos de autenticación.
Los atacantes pueden responder a consultas con respuestas falsificadas, redirigiendo el tráfico legítimo a sistemas maliciosos.
El NetBIOS Name Service (NBT-NS) funciona de manera similar al traducir nombres NetBIOS a direcciones IP, principalmente para redes Windows más antiguas.
LLMN carece de autenticación adecuada, lo que lo hace susceptible a ataques de suplantación similares.
Los atacantes suelen aprovechar estas debilidades en ataques de envenenamiento de red para interceptar tráfico o robar credenciales confidenciales.
Poisoning attacks Al apuntar a LLMNR y NBT-NS, aproveche cómo estos protocolos transmiten consultas cuando la máquina de destino no puede resolver un nombre de host.
Un atacante intercepta la transmisión y responde con una dirección IP maliciosa.
Esto puede engañar a la máquina de la víctima para que envíe detalles de autenticación al atacante, a menudo en forma de credenciales en hash, que luego pueden descifrarse sin conexión.
{width=“6.267716535433071in”
height=“3.0in”}
De la captura de pantalla anterior, la consulta realizada por la máquina con la dirección IP 192.168.232.162 involucraba el nombre mal escrito FILESHAARE<20>.
Esto es evidente en el NetBIOS Name Service (NBNS) solicitud resaltada en la captura de paquetes.
La solicitud es una transmisión, indicada por la dirección IP de destino 192.168.235.255, que muestra la máquina intentando resolver el nombre para FILESHAARE en la red.
La consulta mal escrita probablemente desencadenó la secuencia de eventos que permitieron a un atacante responder maliciosamente.
P2 Estamos investigando un incidente de seguridad de la red. Para realizar una investigación exhaustiva, necesitamos determinar la dirección IP de la máquina no autorizada. ¿Cuál es la dirección IP de la máquina que actúa como entidad deshonesta?
Revise los paquetes después de la consulta inicial. Verifique si hay paquetes de respuesta y observe las diferentes direcciones IP que responden.
Encontrará una respuesta a la consulta LLMNR para ‘<Mistyped_Query>’ desde la dirección IP, que identifica la máquina no autorizada que inició el ataque de envenenamiento.
{width=“6.267716535433071in”
height=“3.6527777777777777in”}
Para identificar la máquina maliciosa que actúa como una entidad maliciosa en este incidente de seguridad de la red, necesitamos analizar la respuesta a la consulta mal escrita que fue transmitida por la máquina víctima con la dirección IP 192.168.232.162.
La siguiente captura de pantalla muestra una respuesta específica en el paquete 51, donde un NBNS (NetBIOS Name Service) La respuesta se origina en la dirección IP 192.168.232.215.
{width=“6.267716535433071in”
height=“3.0in”}
Esta respuesta afirma resolver la consulta mal escrita FILESHAARE<20>, indicando que esta máquina está intentando hacerse pasar por el host legítimo falsificando su identidad y respondiendo a la consulta de transmisión.
Este comportamiento es característico de una máquina que realiza un LLMNR o NBT-NS ataque de envenenamiento.
Al responder a la consulta de transmisión de la víctima con una respuesta diseñada, la máquina maliciosa intenta redirigir el tráfico o recopilar credenciales confidenciales.
El hecho de que 192.168.232.215 La respuesta generada sugiere que es la máquina maliciosa la que explota la falta de autenticación en NBNS protocolo.
P3 Como parte de nuestra investigación, es esencial identificar todas las máquinas afectadas. ¿Cuál es la dirección IP de la segunda máquina que recibió respuestas envenenadas de la máquina no autorizada?
Utilice el filtro de visualización ip.addr == <192.168.232.162> aislar y examinar el tráfico asociado con la propiedad intelectual envenenada identificada. Esto facilitará la identificación de otras máquinas que se comunican con él.
Ir a Statistics > Conversations y seleccione el UDP pestaña para ver todas las comunicaciones basadas en UDP. Busque entradas que involucren la dirección IP envenenada en las columnas Dirección A o Dirección B, pero asegúrese de excluir cualquier conversación que involucre 192.168.232.162 para identificar la dirección IP de la segunda máquina.
{width=“6.267716535433071in”
height=“2.638888888888889in”}
En la investigación de este ataque de envenenamiento, es crucial identificar todas las máquinas afectadas.
El filtro nbns.addr==192.168.232.215 aplicado en Wireshark aísla todo NetBIOS Name Service (NBNS)
Tráfico que involucra a la máquina no autorizada con la dirección IP 192.168.232.215.
{width=“6.267716535433071in”
height=“3.0in”}
A partir de los resultados filtrados, la segunda máquina que recibió una respuesta envenenada de la máquina no autorizada se identificó mediante la dirección IP de destino 192.168.232.176.
Las respuestas envenenadas de la máquina maliciosa intentan redirigir la actividad de la red resolviendo falsamente consultas de nombres inexistentes.
Estas respuestas están diseñadas para engañar a las máquinas legítimas para que interactúen con la máquina del atacante.
Esta actividad maliciosa pone de relieve la explotación de NBNS debilidades.
P4 Sospechamos que las cuentas de usuario pueden haber sido comprometidas. Para evaluar esto, debemos determinar el nombre de usuario asociado a la cuenta comprometida. ¿Cuál es el nombre de usuario de la cuenta que el atacante comprometió?
Para identificar el nombre de usuario comprometido, aplique el filtro ntlmssp.auth.username. Esto ayudará a localizar paquetes que contengan datos de autenticación NTLM, revelando el nombre de usuario asociado con la cuenta comprometida.
Puede encontrar el nombre de usuario en el paquete etiquetado Info o buscando NTLM Secure Service Provider en el SMB Header del paquete SMB2. El User name El campo estará ubicado allí.
{width=“6.267716535433071in”
height=“3.013888888888889in”}
Para determinar el nombre de usuario asociado a la cuenta comprometida, comenzamos analizando el tráfico de red dirigido a la máquina no autorizada.
El filtro Wireshark ip.dst==192.168.232.215 se aplica para aislar todo el tráfico donde la dirección IP de destino corresponde a la máquina no autorizada 192.168.232.215.
Esto nos permite centrarnos específicamente en las interacciones entre la máquina no autorizada y otros sistemas de la red, lo que ayuda a rastrear cualquier actividad maliciosa que implique interceptación de credenciales.
{width=“6.267716535433071in”
height=“3.013888888888889in”}
El Server Message Block (SMB) El protocolo es fundamental en este análisis.
SMB facilita el intercambio de archivos, el acceso a recursos de red y la autenticación en entornos Windows.
Es ampliamente utilizado pero también frecuentemente explotado por atacantes debido a su integración con NTLM (NT LAN Manager) autenticación.
En este caso, la máquina maliciosa aprovecha el ataque de envenenamiento para manipular las comunicaciones de las PYMES, interceptando datos confidenciales como nombres de usuario e intentos de autenticación.
En el paquete resaltado, podemos observar un SMB2 Respuesta de configuración de sesión de la máquina no autorizada.
El código de estado STATUS_MORE_PROCESSING_REQUIRED indica que el proceso de autenticación NTLM está en progreso.
Dentro de la carga útil de este paquete, el NTLMSSP (NT LAN Manager Security Support Provider) El protocolo proporciona detalles sobre la sesión.
Específicamente, la respuesta de configuración de la sesión contiene el nombre de usuario janesmith, que es claramente visible en la información decodificada del paquete.
Este nombre de usuario está asociado con la cuenta que el atacante ha comprometido, ya que fue interceptada por la máquina maliciosa.
El dominio cybercactus.local y el anfitrión WORKSTATION confirmar además el origen de las credenciales, completando la evidencia del compromiso.
P5 Como parte de nuestra investigación, nuestro objetivo es comprender el alcance de las actividades del atacante. ¿Cuál es el nombre de host de la máquina a la que accedió el atacante a través de SMB?
Para encontrar el nombre de host de la máquina a la que se accedió, ¿ha verificado el tráfico SMB en busca de referencias a nombres de máquinas?
Utilice el filtro ntlmssp.challenge.target_info para localizar paquetes relevantes. Luego, examine el encabezado SMB2 y busque el campo NetBIOS Computer Name para identificar el nombre de host de la máquina a la que accede el atacante a través de SMB.
Después de aplicar el filtro ip.dst == 192.168.232.215 and smb2, busca un SMB2 Session Setup Response que contiene un NTLMSSP challenge. En los detalles del paquete, expanda el Target Info campo para encontrar el DNS Computer Name. Esto revelará el nombre de host de la máquina a la que accedió el atacante a través de SMB. Además, puedes consultar el NetBIOS Name campo para mayor confirmación.
{width=“6.267716535433071in”
height=“3.0in”}
Para determinar el nombre de host de la máquina a la que accedió el atacante a través de SMB, comenzamos analizando el SMB2 Tráfico destinado a la captura de pantalla de la máquina no autorizada.
El filtro ip.dst==192.168.232.215 and smb2 se aplica para limitar los resultados a SMB2 tráfico de protocolo donde la dirección IP de destino es la máquina no autorizada, 192.168.232.215.
{width=“6.267716535433071in”
height=“3.0in”}
En el paquete resaltado, un SMB2
Se muestra la respuesta de configuración de la sesión.
La respuesta incluye una NTLMSSP (NT LAN Manager Security Support Provider) mensaje de desafío como parte del NTLM proceso de autenticación.
Este paquete proporciona información crítica sobre el sistema de destino involucrado en la comunicación. Dentro de los detalles del paquete, el Target Info
El campo revela los atributos del sistema.
En concreto, la DNS computer name figura como Accounting PC.cyber cactus.local.
Esto indica que el nombre de host de la máquina a la que se accede a través de SMB es Accounting PC dentro del cibercactus.local dominio.
Esta información confirma que el atacante accedió a la máquina nombrada Accounting PC usando el protocolo SMB como parte de sus actividades de explotación.
El NTLMSSP El desafío resalta que se intentó la autenticación, probablemente como parte de los esfuerzos de la máquina maliciosa para establecer un acceso no autorizado.