I.はじめに
IPv6は徐々にインターネット上での拡張が、ネットワーク環境内でのIPv6の利用でしたが、同社はまだ非常に不足しています。しかし、ほとんどの企業は、彼らがIPv6を使用するためのイニシアチブを取ることはありません場合でも、知りませんが、Windows Vistaのために、(システムのサーバのバージョンを含む)すべてのWindowsシステムでは、IPv6ネットワークを可能にする、とIPv4ネットワーク上でその優先。この記事では、我々は攻撃の方法を説明し、この攻撃は、エンドポイントを指定したIPv6が、DNSサーバが悪質な偽のDNS応答パケットとして機能するには、Windowsのネットワーク構成は、ネットワークトラフィックが攻撃者にリダイレクトされているデフォルトを乱用することができます。攻撃の第二段階では、攻撃者は(悪名高い)WPAD(Windowsプロキシ自動発見、使用する Windowsのネットワーク内のさまざまなサービスに資格情報と認証情報を渡し、プロキシ自動発見)関数を。フォックス-ITはmitm6と呼ばれるツールをリリースし、あなたはこの攻撃、フォックス-ITの中から特定のコードを実装することができますGitHubのページのダウンロードを。
二、IPv6の攻撃
IPv6の速度を促進するには、同時に、高速ではありませんが、IPv6はIPv4の技術リソースよりもはるかに少ないの浸透である方法に関する技術的な資源の乱用。各書籍は、各コースまたは類似の技術ARPスプーフィングなどで言及されますが、これらの文献はほとんどIPv6を言及されていない、およびIPv6の設定ツールをテストするために使用することができますまたは乱用があまりありませんが。THCのIPv6攻撃スイートは、このツールはまた、mitm6のためのインスピレーションの源であり、利用できるいくつかのいくつかのツールの一つです。この資料に記載されている攻撃方法はアイデアSLAAC攻撃サブセットであり、SLAACは、2011年にアレックス・ウォーターズはであるインフォセックのウェブサイトを提唱アイデアへの攻撃。SLAACは、主なアイデアは、宛先ネットワーク内のすべてのトラフィック(のman-in-the-middleのための仲介を達成するために、悪質なIPv6ルータを作成することです ) さまざまなサービスによる攻撃。その後まもなく、ネオハプシスと呼ばれるリリースsuddensix自動的にこのような攻撃を実装することができるツール。
SLAACの攻撃方法は、欠点を存在し、このような攻撃は、IPv6上の既存のIPv4ネットワークに基づいて必要とするすべての現在のネットワーク機器のカバー(オーバーレイ)を作成します。それは迅速にネットワークの安定性を破壊してしまうので、明らかに理想的な攻撃のシナリオではありません侵入テストのため。また、この攻撃は、正しく動作するために多くの外部のソフトウェアパッケージやサービスに依存しています。この欠点に対処するために、mitm6はされて入ってきました。また、ターゲットネットワークの通常の動作との干渉を最小限に抑えながら設定することが容易mitm6は、選択的に、特定のホスト、偽造DNS応答データを攻撃することができます。あなたが必要とするだけのPythonスクリプト、あなたは基本的な何のコンフィギュレーションを実行していない前に、数秒で攻撃することができるようになります。私たちは、ツールでタイムアウトを設定し、その攻撃が終わった時に、ネットワーク全体では数分以内に以前の状態に復元されます。
三、mitm6攻撃
フェーズ1:プライマリDNSサーバーコントロール
まず、mitm6がホストへのメインインターフェイス上の攻撃をリッスンし、ホストは、DHCPv6のプロトコルによってWindowsのIPv6構成を取得し観察しました。Windows Vistaでは以降では、デフォルトでは各Windowsホストは、定期的にこの構成情報を要求します。次のようにWiresharkのパケットデータを把持することにより:
mitm6は、これらの要求のDHCPv6に答えるこれらの被害者ホストのIPv6リンクローカルアドレスを割り当てます。実際のIPv6ネットワークでは、これらのアドレスは自動的にDHCPサーバが設定されている完全にすることなく、ホスト自身によって割り当てられます。このように、IPはデフォルトのIPv6 DNSサーバー、被害者のホストに提供するDNSサービスとして攻撃者に私たちに機会を設定します。唯一のWindowsベースのオペレーティングシステムのための、本mitm6で、他のオペレーティング(などのMacOSやLinuxなど)システムとは、DNSサーバを設定するには、DHCPv6のプロトコルを使用していない、ということに注意してください。
mitm6ない中国はゲートウェイノードとして自身を発表するので、宛先ネットワーク内のホストおよびネットワーク・セグメントまたはIPv6のVLAN外部のホストと通信しようとしません。mitm6は(攻撃者がドメインを実行しているmitm6必要な濾過プロセスを指定することができ、ネットワーク攻撃内のすべてのトラフィックを仲介しようとしませんが、選択的に一部のホストを欺くますので、これはネットワーク全体への攻撃の影響を制限することができます)。
mitm6攻撃は、図に従います。ツールが自動的に攻撃者のホストのIP構成を検出することができ、このネットワーククライアント内のDHCPv6応答が要求メッセージを送信し、応答メッセージには、攻撃者のDNSサーバーが置かれているのIPアドレスを指定します。また、mitm6は、定期的に現在のIPv6ネットワーク環境があるRA(ルータアドバタイズメント、ルータの告知)クライアントを思い出させるためにメッセージを送信することができる、あなたはIPv6がmitm6のオプション機能ですDHCPv6のプロトコルを介して、アドレスを取得する必要があります。いくつかのケースでは、そうすることが攻撃速度をスピードアップするが、これはのようなターゲットネットワークの展開の場合は必須ではありませんすることができRAガードなどSLAAC攻撃を保護するための防御機構、この機能を有効にすることを検討してください。
ステージ2:DNSスプーフィング
在受害主机上,可以看到我们的服务器已经被配置为DNS服务器。由于Windows在处理IP协议时有先后顺序,IPv6的DNS服务器优先级会比IPv4的DNS服务器更高,因此Windows主机会向IPv6 DNS服务器查询A(IPv4)及AAAA(IPv6)记录。
接下来,我们的目标是让客户端连接到攻击者的主机,而不是合法服务器。我们的最终目标是让用户或者浏览器自动向攻击者主机发起身份认证请求,这也是我们在testsegment.local这个内部网络中进行URL欺骗的原因所在。在步骤1的截图中,你可以观察到客户端在分配了IPv6地址后,会第一时间请求wpad.testsegment.local的相关信息。我们会在本次攻击过程中利用到这一现象。
四、利用WPAD
在MS16-077之前滥用WPAD
Windows代理自动检测功能一直以来都是充满争议的一个话题,渗透测试人员多年来一直在滥用这个功能。正常情况下,企业网络环境中可以利用这一功能来自动探测网络代理,通过该代理访问互联网。保存相关信息的wpad.dat文件由某个服务器来提供,在早些时候,该服务器的地址需要使用DNS来解析,如果DNS无法解析这一地址,那么系统会通过不安全的广播协议(如链路本地多播名称解析(LLMNR)协议)来解析服务器地址。攻击者可以应答这些广播名称解析协议,对外宣称WPAD文件位于攻击者控制的服务器上,随后要求通过身份认证来访问WPAD文件。默认情况下,Windows会自动进行身份认证,无需用户交互。这样一来,攻击者就能获取到该主机上已登录用户的NTLM凭据,然后通过NTLM中继攻击,利用窃取的凭证通过通过正常服务的身份认证。
然而,微软在2016年发布了MS16-077安全公告,添加了两个重要的保护措施,以缓解这类攻击行为:
1、系统再也无法通过广播协议来解析WPAD文件的位置,只能通过DNS协议完成该任务。
2、即使服务器主动要求身份认证,系统也不会自动发起认证过程。
虽然我们在目标网络中经常可以找到没有打上全部补丁的主机,这些主机依然会通过LLMNR来请求WPAD,也会自动进行身份认证,但我们发现越来越多的公司更新了网络,此时已经无法通过老办法来利用WPAD漏洞。
在MS16-077之后利用WPAD
mitm6可以轻松绕过第一种保护机制(即只能通过DNS来请求WPAD)。一旦受害主机将攻击者的服务器设置为IPv6 DNS服务器,受害主机会立即查询网络中的WPAD配置。由于这些DNS请求会发送到攻击者主机上,因此攻击者可以使用自己的IP地址(IPv4或者IPv6地址,具体取决于受害主机请求的是哪种地址)来回复这类请求。即使该目标已经在使用WPAD文件,mitm6也能攻击成功(但此时会受害主机将无法连接至互联网)。
在第二种保护机制中,默认情况下Windows不会再提供凭证信息,此时我们需要额外做些工作才能攻击成功。当受害主机请求WPAD文件时,我们不会再去请求身份认证信息,而是为受害主机提供一个有效的WPAD文件,其中指定攻击者的主机为代理服务器。此时,如果受害主机上正在运行的应用程序使用了Windows API来连接互联网,或者受害者开始浏览网页时,自然就会使用攻击者的主机作为代理服务器。这种情况适用于Edge、IE、Firefox以及Chrome浏览器,因为默认情况下这些浏览器都会遵循WPAD系统设置。
此时,当受害主机连接到我们的“代理”服务器时,我们可以通过HTTP CONNECT动作、或者GET请求所对应的完整URI路径来识别这个过程,然后回复HTTP 407错误(需要代理身份验证),这与请求身份认证时常见的HTTP代码不同(HTTP 401)。
IE/Edge以及Chrome浏览器(使用的是IE设置)会自动与代理服务器进行身份认证,即使在最新版本的Windows系统上也是如此。在Firefox中,用户可以配置这个选项,但默认情况下该选项处于启用状态。
现在Windows会乖乖地将NTLM挑战/响应数据发送给攻击者,随后攻击者可以将这些数据转发给各种服务。在这种中继攻击场景中,攻击者可以以受害者的身份访问各种服务、获取网站信息及共享资源,如果受害者有足够高的权限,攻击者甚至可以在其他主机上执行代码或者接管整个Windows域。之前我们在其他博客中介绍了NTLM中继攻击的其他利用思路,大家可以进一步了解相关细节。
五、完整攻击过程
前面我们介绍了这种攻击方法的大致原理,攻击过程本身并不复杂。运行mitm6后,该工具会开始回复DHCPv6请求报文,应答内部网络中的DNS请求。在攻击第二阶段中,我们使用ntlmrelayx这个工具来发起中继攻击。该工具是Core Security推出的impacket库中的一个子工具,是smbrelayx工具的改进版,支持中继多种协议。Core Security以及Fox-IT最近在合作改进ntlmrelayx,添加了几项新功能,可以通过IPv6进行中继、提供WPAD文件、自动探测代理请求、以合适的方式提示受害主机进行身份认证。如果你想知道添加了哪些新功能,可���看一下GitHub上的源代码。
如果想提供WPAD文件,我们只需要在命令行中输入主机信息、-wh参数,指定托管WPAD文件的主机。由于我们可以通过mitm6控制DNS信息,因此我们可以使用受害者网络中不存在的任意主机名。为了让ntlmrelayx在IPv4以及IPv6上同时监听,我们需要使用-6参数。在如下两张图中,我们可以看到mitm6正在有选择地伪造DNS应答,而ntlmrelayx正在提供WPAD文件,然后将认证信息转发给网内的其他服务器。
六、缓解措施
この攻撃に対しては、緩和措置の使用のみがIPv6ネットワーク(ネットワークがIPv6の単語の使用を必要としない場合は、内部ネットワーク)を無効にすることで、現在です。だから、攻撃者は、この記事で説明した方法により、DNSサーバを引き継ぐことができないように、Windowsホスト要求のDHCPv6サーバを防ぐことができるようにします。
WPADは、自動プロキシ検出を無効にするには、グループポリシーを通じて方法、最高の緩和策を使用してください。会社のネットワークがプロキシ設定ファイル(PACファイル)を使用する必要がある場合、私たちは、企業が直接ではなく、自動的にアドレスを検出するために、WPAD機能を頼るより、URLアドレスのPACを指定することをお勧めします。
この記事の執筆時点で、GoogleのProject ZeroのもWPADの脆弱性は、Googleがリリースによると、存在見つかったデータを無効化は、WinHttpAutoProxySvcWPADを無効にする唯一の確実な方法です。
最後に、言及し、現在唯一の完全なソリューションは、完全にKerberos認証メカニズムに関連する機能を無効にすることです、リレーアタックNTLMを妨げています。実際の状況は、このプログラムを使用して許可していない場合は、私たちは以前に公開を参照することができます記事緩和措置のNTLMリレー攻撃のいくつかは、あなたがこのような攻撃によってもたらされるセキュリティリスクを最小限に抑えることができますについて説明し、。
七のソースツール
私たちは、フォックス-ITのからすることができますGitHubのからにmitm6ダウンロードimpacketコードntlmrelayx倉庫の最新バージョンをダウンロードしてください。
この記事では、360乗客の安全性から来て、元のアドレス:https://www.anquanke.com/post/id/94689