Este tipo de ataques busca capturar credenciales de los usuarios desatentos mediante la activación, en una red privada, de un servicio el cual responde a peticiones a recursos inexistentes, que usualmente son generadas por errores de “typo” o por malas configuraciones.
Demostraremos cómo detectar ataques de tipo “LLMNR Poisoning”, con la utilización de Wazuh, de dos formas diferentes. Basándonos en un escenario donde se pueda contar o no con permisos de ejecución de comandos en el agente.
Para las pruebas se utilizaron las siguientes herramientas:
- Responder y Hashcat para generar el ataque.
- Wazuh 4.3.1 (o superior) para detección de eventos.
- Powershell y Programador de tareas de Windows.
Introducción
A continuación, se enumeran las técnicas de Mitre a ser analizadas:
- Tecnica Mitre: T1557 - Adversary-in-the-Middle
Subtecnica 001 - LLMNR/NBT-NS Poisoning and SMB Relay
- Técnica Mitre: T1040 - Network Sniffing
Dentro de las técnicas de Mitre Att&ck, vemos la T1557:
La sub técnica 001 dice:
“Al responder al tráfico de red LLMNR (UDP 5355)/NBT-NS (UDP 137), los adversarios pueden falsificar una fuente autorizada para la resolución de nombres para forzar la comunicación con un sistema controlado por el adversario. Esta actividad se puede utilizar para recopilar o transmitir materiales de autenticación. (…). En algunos casos, cuando un adversario tiene acceso a un sistema que se encuentra en la ruta de autenticación entre sistemas o cuando los análisis automatizados que usan credenciales intenta autenticarse en un sistema controlado por el adversario, los hash NTLMv1/v2 pueden interceptarse y transmitirse contra un sistema objetivo. Además, los adversarios pueden encapsular los hash NTLMv1/v2 en varios protocolos, como LDAP, SMB, MSSQL y HTTP, para expandir y usar múltiples servicios con la respuesta NTLM válida.”
Preparación del ataque
Vamos a utilizar la herramienta Responder para probar la subtecnica, la cual nos permite “envenenar” paquetes de diferentes protocolos como LLMNR, NBT-NS y MDNS.
Las credenciales quedan almacenadas en Responder.db:
Cracking
Una vez capturados los hashes podemos usar john o hashcat para crackearlos: Tomamos el hash y lo guardamos en archivo “ntlmv2.hash” y corremos hashcat:
