Использование Microsoft Outlook 365 для захвата NTLM

Дата: 07.09.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Использование Microsoft Outlook 365 для захвата NTLM

В этой статье говорится о том, как злоумышленник использует Microsoft Оffice для проведения фишинговой атаки, чтобы получить хэши NTLM в Windows.

Все и так знают, что приложения Microsoft Office, такие как Word, PowerPoint, Excel и Outlook, являются самыми надежными ресурсами в любой организации. Часто злоумышленник использует эту зависимость, чтобы спрятать аккаунт нового пользователя. В данном случае читатели смогут понять, как применение фишинга может быть эффективно для захвата хэшей Microsoft Windows NTLM.

На самом деле, злоумышленник пытался использовать метод инъекции UNC Path для захвата хэшей Windows NTLM и задействовать фишинг для достижения поставленной цели.

Пошаговый разбор

Пользователь применяет Kali Linux, его IP-адрес — 192.168.1.112. Он будет использоваться для получения UNC Path.

Использование Microsoft Outlook 365 для захвата NTLM

Ссылка UNC Path в изображении

Цель номер 1: отправить целевому пользователю фишинговое сообщение, содержащее вредоносное изображение.

Пользователю нужно использовать Оffice 365 для связывания UNC-пути в образ, для этого следует вставить образ и создать письмо для своей жертвы, чтобы замаскировать его.

Использование Microsoft Outlook 365 для захвата NTLM

Необходимо ввести путь UNC, добавив гиперссылку на изображение, как показано ниже на картинке. Теперь злоумышленник использует изображения по предотвращению распространения COVID-19 для проведения крупномасштабной фишинг-атаки.

Использование Microsoft Outlook 365 для захвата NTLM

Также здесь был задействован IP-адрес Kali Linux, чтобы украсть хэши NTLM. Эта фаза может рассматриваться как легкая для охотника за угрозами кибербезопасности при охоте на IOC в соответствии с существующими порядками, потому что здесь вредоносный доменный адрес злоумышленника или IP-адрес в формате dword применяется для уклонения от системы обнаружения.

Использование Microsoft Outlook 365 для захвата NTLM

После того как пользователь подготовил свое сообщение с помощью Оffice 365, нужно установить ответчик (респондер) на свой Kali Linux, который будет захватывать хэши NTLM.

Ответчиком является функция LLMNR, NBT-NS и MDNS как «отравителя системы» с встроенной HTTP/SMB/MSSQL/FTP/LDAP аутентификацией для сервера с поддержкой протокола NTLMv1/NTLMv2/LMv2, расширенной службой безопасности NTLMSSP и базовой HTTP-аутентификацией.

Необходимо выполнить данную команду и сразу после этого отправить письмо своей жертве:

responder -I eth0 -v
Использование Microsoft Outlook 365 для захвата NTLM

Теперь, когда жертва откроет почту и нажмет на полученное изображение или откроет новую вкладку и сохранит картинку, его/ее NTLM-хэши будут украдены без ведома получателя.

Использование Microsoft Outlook 365 для захвата NTLM

В результате злоумышленник получит NTLM-хэши машины жертвы, как показано на рисунке ниже. Здесь он сможет заметить, что он получил имя пользователя NetBIOS вместе с хэшами.

Использование Microsoft Outlook 365 для захвата NTLM

Злоумышленник также может использовать John’s ripper или другие инструменты хеширования NTLM для получения пароля. Как читатели могут увидеть, пользователь задействовал вышеупомянутый файл хэшей NTLM, сгенерированный ответчиком, чтобы извлечь пароль жертвы с помощью John the Ripper.

Использование Microsoft Outlook 365 для захвата NTLM

Ссылка UNC PATH в текстовом файле

Цель номер 2: отправить фишинговое сообщение целевому пользователю, в котором будет содержаться вредоносный объект.

До Office 2013 можно было отправить вредоносное вложение, введя UNC-путь, но после Office 2013 опция ссылки на файл отключена, что не позволяет злоумышленнику провести фишинговую атаку через вредоносное вложение.

Тем не менее, злоумышленник все еще знает об альтернативе отправки вредоносного вложения. Несмотря на отправку вложения, он пытается привязать ссылку к объекту, отправляемому по почте.

Здесь пользователь добавил текстовый файл в качестве объекта, он, к сожалению, не может использовать функцию «link to file» для ввода UNC-пути.

Использование Microsoft Outlook 365 для захвата NTLM

Как только пользователь добавит объект, нужно ввести гиперссылку для UNC-пути, как это было сделано выше, т.е. \\192.168.1.112, и отправить письмо жертве. С другой стороны, ему следует использовать ответчик, чтобы украсть хэши NLTM, как это было сделано также выше.

Использование Microsoft Outlook 365 для захвата NTLM

Теперь, когда жертва откроет почту и нажмет на текстовый файл или откроет его в новой вкладке, NTLM-хэши пользователя будут украдены без его ведома.

Использование Microsoft Outlook 365 для захвата NTLM

В результате злоумышленник получит NTLM-хэши машины жертвы, как показано на рисунке ниже. Здесь читатели могут заметить, что получено имя пользователя NetBIOS вместе с хэшами.

Использование Microsoft Outlook 365 для захвата NTLM

Ссылка UNC PATH в документе Word

Цель номер 3: отправить фишинговое сообщение целевому пользователю, которое содержит вредоносный документ Word.

В большинстве случаев злоумышленник использует документ Word для того чтобы создать подлинные письма. Таким образом, он добавляет UNC-путь в виде гиперссылки в файл Word. Но, как уже было сказано, Outlook отказался от функции «link to file» или «insert as a link», чтобы предотвратить отправку злоумышленниками вредоносных документов.

Существует альтернативный метод, который позволяет человеку внедрить UNC-путь во вложение. Пользователь написал HTML-код в текстовом файле, содержащем ссылку UNC Path в src-образе, как показано на примере html-образа.

Использование Microsoft Outlook 365 для захвата NTLM

Теперь следует открыть документ Word и связать html-файл как объект, таким образом пользователь перейдет по следующему пути: «insert > Object > Text from file».

Использование Microsoft Outlook 365 для захвата NTLM

Пользователь вставит HTML-файл и выберит опцию «insert as a link», как показано на рисунке.

Использование Microsoft Outlook 365 для захвата NTLM

Теперь надо использовать документ Word, содержащий ссылку на HTML-файл, который будет отправлен в качестве вложения и доставлен по почте жертве. Необходимо дождаться ответа на это сообщение, пользователь добавил ответчика в бэкдор.

Использование Microsoft Outlook 365 для захвата NTLM

Когда жертва откроет почту и нажмет на текст или откроет его в новой вкладке, его/ее NTLM-хэши будут украдены без ведома пользователя.

Использование Microsoft Outlook 365 для захвата NTLM

В результате злоумышленник получит NTLM-хэши машины жертвы, как показано на рисунке ниже. Здесь читатели могут заметить, что было получено имя пользователя NetBIOS вместе с хэшами.

Использование Microsoft Outlook 365 для захвата NTLM

Заключение

Итак, читатели смогли увидеть, как злоумышленник ловко добавил UNC-путь в изображение, текстовый файл или документ Word и замаскировал его, отправив фишинговое сообщение.

Автор переведенной статьи: Raj Chandel.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *