25 may. 2020

Movimiento Lateral: Pass the Hash Attack

Artículo basado en "Lateral Movement: Pass the Hash Attack" desarrollado por Pavandeep Singh

Traducción: Rodrigo Camacho (@_R0dr1_) y Leandro Di Dio (@leandrod86) para Segu-Info

Author: Pavandeep Singh is a Technical Writer, Researcher and Penetration Tester. Can be Contacted on Twitter and LinkedIn


Si has estado en el campo de la seguridad informática en los últimos 20 años, puedes haber escuchado sobre Pass-the-Hash o ataque PtH. Es muy efectivo y castiga muy duro si se lo ignora. Fue tan efectivo que llevó a Microsoft Windows a hacer grandes cambios en la manera de almacenar credenciales y usarlas para autenticación. Incluso después de muchos cambios, actualizaciones y parches PtH es un problema que simplemente continuará. Echemos un vistazo.

Tabla de Contenidos

  • Historia de PtH
  • "Arreglo" de Microsoft
  • Introducción al Hashing y NTLM
  • Funcionamiento de PtH
  • Ceros en vez de Hashes LM
  • Configuraciones usadas en la practica
  • Ataques Pass-the-Hash
  • Mimikatz
  • PtH sobre SMB
    • Metasploit scanner/smb/smb_login
    • Empire lateral_movement/invoke_smbexec
  • Impacket smbclient
  • pth-smbclient
  • crackmapexec
  • PtH sobre PsExec
  • Metasploit windows/smb/psexec
  • Metasploit admin/smb/psexec_command
  • Impacket psexec
  • PtH sobre WMI
  • Impacket wmiexec
  • PowerShell Invoke-WMIExec
  • pth-wmic
  • exe
  • PtH sobre RPC
  • Impacket rpcdump
  • pth-rpcclient
  • pth-net
  • Herramientas Pass the Hash
  • PTH Toolkit
    • pth-winexe
    • pth-curl
  • Impacket
    • Impacket atexec
    • Impacket lookupsid
    • Impacket samrdump
    • Impacket reg
  • Detección PtH
  • Migración PtH
  • Referencias
  • Conclusiones 

El artículo completo se puede descargar desde aquí.

Historia de PtH

Una de las primeras cosas que aprendí en explotación fue que, una vez obtenida la sesión, uno debe buscar credenciales y/o hashes. Esta es una de las actividades fundamentales que un atacante desarrolla después del exploit inicial. Desde la perspectiva de un Red Teamer, PtH es una parte del Movimiento Lateral. Después de obtener los hashes depende de los atacantes lo que harán con el hash. Pueden intentar descifrarlo. Pero, como todos sabemos, eso es difícil, consume tiempo y sin garantía de obtener la contraseña. Pero hay otro camino.

Durante la autenticación, el procedimiento básico es que la contraseña se recopila del usuario, luego es encriptada y entonces el hash encriptado de la contraseña correcta es utilizado para una futura autenticación. Después de la autenticación inicial, Windows mantiene el hash en su memoria de manera tal que el usuario no tenga que introducir la contraseña una y otra vez. Durante el volcado de credenciales, vemos que hemos extraído muchos y muchos hashes. Ahora, como atacante, no conocemos la contraseña. Así, durante la autenticación, introducimos el hash en lugar de la contraseña. Windows compara los hashes y recibe al atacante con los brazos abiertos. En pocas palabras, a esto se lo denomina ataque Pass-the-Hash.

El "arreglo" de Microsoft

Microsoft reemplazó el cifrado RC4 con AES, así como también introdujo la credencial Guard. Esto llevó a pensar a muchos usuarios que el ataque PtH se había ido para siempre. Pero la realidad fue muy distinta. Esos cambios hicieron el ataque muy difícil de desarrollar, pero nunca resolvieron el problema de fondo. Los cambios introducidos hicieron que algunas técnicas y herramientas sean inútiles. Pero algunas aún funcionaban. Esto creó un sentido de confusión entre la comunidad. Espero poder brindar algo de luz sobre esto.

Introducción al Hashing y NTLM

Una función Hash criptográfica es un algoritmo que toma un bloque de datos arbitrarios y devuelve una cadena de bits de tamaño fijo, el valor del hash, tal que un cambio en los datos cambiará el valor del hash. En otras palabras, esto significa que tienes un bloque de texto en nuestro caso la contraseña y ejecutas alguna función mágica y si hiciste algún cambio pequeño en la contraseña finalizarías con un valor completamente diferente.

Microsoft, desde el lanzamiento de Windows 10, usa el protocolo de autenticación NTLMv2. También se introdujo el sistema de inicio de sesión único el cual mantiene las credenciales almacenadas en la caché de la memoria para así poder ser utilizadas más tarde.

El artículo completo se puede descargar desde aquí.

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!