Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
Prijevodi ove stranice:

MITM alat Responder

Video prezentacija: Link na prezentaciju

Sažetak

U današnjem digitalnom dobu, sigurnost informacija i identifikacija potencijalnih prijetnji predstavljaju ključni aspekt rada u području računalne forenzike. Kako bi se adekvatno suočili s izazovima sigurnosti, stručnjaci za sigurnost često koriste specijalizirane alate za analizu mrežnog prometa. Jedan od takvih alata je Responder. Respodner je alat otvorenog koda, a ovaj rad istražuje alat i njegovu primjenu u području računalne forenzike i penetracijskog testiranja. Kroz analizu ključnih funkcionalnosti Respondera, razmatramo njegovu sposobnost praćenja specifičnih mrežnih protokola poput LLMNR, i NBT-NS, s posebnim naglaskom na hvatanje NTLM sažetaka. Uspoređujemo Responder s drugim alatima poput Wiresharka i tcpdumpa i zaključno, rad naglašava važnost pažljive i etičke primjene Respondera, ističući njegov doprinos u identifikaciji prijetnji, analizi sigurnosnih incidenata te poboljšanju sigurnosti mrežnih okruženja.

Ključne riječi: Responder; LLMNR; NBT-NS; NTLM-hash; MITM

Uvod

Responder je ofenzivni alat autora Laurenta Gaffiea često korišten u penetracijskom testiranju. Predstavlja moćan alat za napade (poisoning) na protokole kao što su LLMNR, NBT-NS i MDNS. Ovaj alat omogućuje napadačima presretanje upita za imenima računala te pridružene informacije, koristeći tehnike “trovanja” (poisoninga). Ono što izdvaja Responder su njegove integrirane mogućnosti za različite protokole, (npr. HTTP, SMB, LDAP itd.) i što pored toga, Responder podržava različite načine autentifikacije. Ovo omogućuje alatu da simulira lažne autentiifkacijske servere i uhvati autentifikacijske podatke tijekom napada.

Opisi protokola

Kako bi u potpunosti shvatili što Responder omogućava potrebno je objasniti pojmove i protokole koji se uz njega povezuju. Nakon opisa protokola bit će dan i opis “trovanja” (poisoning) kojim se Responder služi kako bi omogućio izvođenje napada.

LLMNR

Link-Local Multicast Name Resolution je protokol koji omogućava razrješavanje imena bez potrebe za DNS poslužiteljem. Koristi se za dohvat IP adrese na temelju imena domaćina. To ostvaruje s pomoću multicast paketa poslanog na sva mrežna sučelja u mreži. LLMNR šalje mrežni paket na UDP port 5355 na multicast mrežnu adresu. Domaćini odgovaraju na upit ako su autoritativno poznati kao domaćin naveden u upitu. Podržava IPv4 i IPv6 adrese te sve sadašnje i buduće DNS formate, tipove i klase. Nasljednik je protokola NBT-NS.

NBT-NS

NetBIOS Name Service je Windows protokol koji se koristi za prevođenje NetBIOS imena u IP adrese na lokalnoj mreži, slično tome kako DNS protokol djeluje na internetu. Svakom računalu dodjeljuje NetBIOS ime putem NBT-NS usluge. Radi na UDP portu 137 i prethodnik je LLMNR protokola.

MDNS

Multicast DNS je protokol namijenjen olakšavanju razrješavanja imena u mrežama. Ne traži poslužitelja imena, već šalje upite direktno svim klijentima u mreži putem multicast-a. U multicastu, pojedinačna poruka usmjerena je izravno prema grupi primatelja. Kada se uspostavi veza između pošiljatelja i primatelja, svi sudionici su obaviješteni o vezi između imena i IP adrese te mogu napraviti odgovarajući unos u svoju mDNS predmemoriju.

DHCP

Dynamic Host Configuration Protocol je mrežni protokol koji omogućuje dinamičku konfiguraciju IP adresa i drugih mrežnih postavki za uređaje unutar lokalne mreže. DHCP poslužitelji automatski dodjeljuju IP adrese, mrežne maske itd. uređajima koji traže mrežnu konfiguraciju.

LLMNR/NBT-NS Poisoning

LLMNR i NBT-NS “trovanje” (poisoning) predstavlja vrstu napada gdje napadač manipulira procesom razrješavanja imena, iskorištavajući multicast prirodu ovih protokola. U ovom scenariju, istražit ćemo kako napadač može iskoristiti pokušaj žrtve da se poveže s zajedničkim mrežnim direktorijem.

  1. Žrtva želi uspostaviti vezu sa zajedničkim mrežnim direktorijem i šalje zahtjev DNS poslužitelju. Međutim, DNS poslužitelj ne može se povezati s \\shared ne postoji u DNS zapisima.
  2. Poslužitelj odgovara žrtvi, navodeći da ne može povezati klijenta s \\shared.
  3. Klijent kao rezervnu opciju, šalje multicast zahtjev cijeloj lokalnoj mreži koristeći LLMNR. Žrtva se nada da bi neki korisnik na mreži mogao znati put do \\wow.
  4. Napadač odgovara na multicast zahtjev žrtve, pretvarajući se da zna identitet i lokaciju \\shared.
  5. Žrtva, vjerujući da je zlonamjerni izvor autoritativan, može nesvjesno pružiti svoj NTLM hash u odgovoru.

Ovaj postupak opisan je na sljedećoj slici: ti_responder_poisoning.jpg

Instalacija i pokretanje alata

Instalacija alata Responder vrlo je jednostavna. Kako bi se alat uspješno pokrenuo potrebno je na računalu imati instaliran python i python biblioteku netifaces. Korištenje virtualne okoline nije nužno, ali je preporučljivo.

  1. Preuzimanje izvornog koda:
     git clone https://github.com/lgandx/Responder.git 
  2. Prebacivanje u direktorij koji sadrži izvorni kod:
     cd Responder 
  3. Pokretanje alata i ispis uputa:
     python Responder.py -h 

Ako su svi koraci uspješno provedeni ispis unutar naredbenog retka trebao bi izgledati poput ovog na sljedećoj fotografiji: Ispis naredbenog retka nakon pokretanja Respondera

Popis svih parametara pomoću kojih možemo pokrenuti program prikazan je u sljedećoj tablici:

Parametar Opis
–version Prikaži verziju programa i izađi.
-h, –help Prikaži help poruku i izađi.
-A, –analyze Način rada za analizu, prikazuje NBT-NS, BROWSER, LLMNR zahtjeve bez odgovora.
-I eth0, –interface=eth0 Odabir koje će se mrežno sučelje koristiti. Opcija “ALL” je zamjenski znak za korištenje svih sučelja.
-i 10.0.0.21, –ip=10.0.0.21 Lokalna IP adresa za korištenje (samo za OSX).
-6 2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed, –externalip6=2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed Zarazi sve zahtjeve sa različitom IPv6 adresom od one koju koristi Responder.
-e 10.0.0.22, –externalip=10.0.0.22 Zarazi sve zahtjeve sa različitom IP adresom od one koju koristi Responder.
-b, –basic Vrati bazičnu HTTP autentifikaciju (pretpostavljeno: NTLM).
-d, –DHCP Omogući odgovore za DHCP broadcast zahtjeve. Ova opcija će ubaciti WPAD poslužitelj u DHCP odgovor. Zadano: False
-D, –DHCP-DNS Ova opcija će ubaciti DNS poslužitelj u DHCP odgovor, inače će biti dodan WPAD poslužitelj. Zadano: False.
-w, –wpad Pokreče lažni WPAD proxy poslužitelj. Zadano: False.
-u UPSTREAM_PROXY, –upstream-proxy=UPSTREAM_PROXY Upstream HTTP proxy koji koristi lažni WPAD proxy za odlazne zahtjeve (format: host:port).
-F, –ForceWpadAuth Prisilna NTLM/Basic provjera autentičnosti prilikom dohvaćanja wpad.dat datoteke. Može uzrokovati upit za prijavu. Zadano: False.
-P, –ProxyAuth Forsiraj NTLM (transparent)/Basic (prompt) provjeru autentičnosti za proxy. WPAD ne mora biti uključen. Zadano: False.
-Q, –quiet Onemogućuje hrpu ispisa od trovača. Zadano: False
–lm Vrati bazičnu HTTP autentifikaciju (pretpostavljeno: NTLM).
–disable-ess Prisilno isključi ESS. Zadano: False.
-v, –verbose Povećaj opširnost ispisa.

Primjer korištenja alata

Kako bi opisali primjer korištenja alata Responder u području računalne forenzike zamislimo situaciju gdje u tvrtki postoji sumnja na neovlašten pristup kritičnim resursima, kao što su podaci o klijentima ili interni dokumenti. Cilj je otkriti i dokumentirati svaki pokušaj neovlaštenog pristupa kako bi se utvrdila sigurnost sustava.

  1. Responder ćemo podesiti da pasivno pratiti mrežni promet i zabilježi sve pokušaje autentikacije na mrežnom sučelju eth0 s pomoću naredbe:
    sudo python3 Responder.py -I eth0
  2. Kada napadač pokuša pristupiti nekom dijeljenom direktoriju npr. \\racfor Responder će ga obavijestiti da nema prava pristupa i podvaliti mu lažnu formu za prijavu. Kao na slici:
    ti_responder_auth.jpg
  3. Svi pokušaji prijave, korisnička imena, adrese i NTLM sažetci lozinki bit će zabilježeni u logovima kao na slici u nastavku:
    ti_responder_capture.jpg

Na ovaj način možemo zabilježiti i identificirati neovlaštene pokušaje prijave i pristupa kako bi se od njih obranili i bolje zaštitili. Nadalje možemo koristiti alate poput hashcata za razbijanje NTLM sažetka lozinke ili alate poput wiresharka kako bi dobili još bolje analizirali događanja na mreži.

Usporedba s drugim sličnim alatima

Uspoređujemo li Responder s alatima poput wiresharka ili tcpdumpa koji pružaju općenitu analizu mrežnog prometa, Responder se izdvaja specifičnim fokusom na autentikaciju, što ga čini snažnim alatom u računalnoj forenzici, pogotovo u otkrivanju i analizi pokušaja neovlaštenog pristupa i zlonamjernih aktivnosti vezanih uz autentikaciju.

Zaključak

Responder se ističe kao snažan alat u računalnoj forenzici i penetracijskom testiranju, fokusiran na analizu autentikacijskih pokušaja u mrežnom prometu. Njegove specifičnosti, poput praćenja različitih protokola i hvatanja NTLM sažetaka, čine ga ključnim u otkrivanju sigurnosnih incidenata i identifikaciji potencijalnih ranjivosti. Pažljiva primjena ovog alata sukladno etičkim smjernicama osigurava njegovu učinkovitu upotrebu u forenzičkim analizama, testiranjima sigurnosti i istraživanjima. Responder predstavlja nezaobilazno sredstvo za stručnjake za sigurnost i forenzičare u suočavanju s izazovima u mrežnom okruženju.

Literatura

racfor_wiki/seminari2023/mitm_alat_responder.txt · Zadnja izmjena: 2024/01/18 13:26 od Ivasić Tvrtko
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0