Атака NTLM Relay
Что такое Атака NTLM Relay?
Атака NTLM RelayАтака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.
NTLM Relay использует механизм challenge-response в NTLM. Атакующий вынуждает узел-жертву аутентифицироваться к подконтрольной инфраструктуре (через WebDAV, UNC-пути или принуждение типа PetitPotam) и пересылает NTLM-сообщения целевому сервису: LDAP, SMB, веб-регистрации ADCS или MSSQL. Цель принимает корректный отклик на challenge и предоставляет атакующему доступ под учётной записью жертвы. Пароль и хеш в открытом виде не извлекаются, поэтому остановить атаку могут только подписанные протоколы с привязкой к каналу. Меры защиты: обязательная подпись SMB, подпись LDAP и channel binding (EPA), отключение NTLM где возможно, закрытие векторов принуждения. Эталонный инструмент — ntlmrelayx из Impacket.
● Примеры
- 01
Принудить контроллер домена с помощью PetitPotam и переслать его NTLM в ADCS, получив сертификат DC.
- 02
Переслать NTLMv2 рабочей станции на MSSQL с включённым xp_cmdshell для RCE.
● Частые вопросы
Что такое Атака NTLM Relay?
Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака NTLM Relay?
Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.
Как работает Атака NTLM Relay?
NTLM Relay использует механизм challenge-response в NTLM. Атакующий вынуждает узел-жертву аутентифицироваться к подконтрольной инфраструктуре (через WebDAV, UNC-пути или принуждение типа PetitPotam) и пересылает NTLM-сообщения целевому сервису: LDAP, SMB, веб-регистрации ADCS или MSSQL. Цель принимает корректный отклик на challenge и предоставляет атакующему доступ под учётной записью жертвы. Пароль и хеш в открытом виде не извлекаются, поэтому остановить атаку могут только подписанные протоколы с привязкой к каналу. Меры защиты: обязательная подпись SMB, подпись LDAP и channel binding (EPA), отключение NTLM где возможно, закрытие векторов принуждения. Эталонный инструмент — ntlmrelayx из Impacket.
Как защититься от Атака NTLM Relay?
Защита от Атака NTLM Relay обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака NTLM Relay?
Распространённые альтернативные названия: NTLM-relay, T1557.001.
● Связанные термины
- attacks№ 1057
Атака SMB Relay
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
- attacks№ 620
LLMNR-отравление
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
- attacks№ 715
NBT-NS-отравление
Атака «человек посередине», использующая устаревший трафик NetBIOS Name Service на UDP/137 для подмены ответов на имена и сбора NTLM-аутентификаций.
- attacks№ 924
Атака с использованием Responder
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.