Ximo Baeza

Ximo Baeza

Entusiasta del software libre y la ciberseguridad

Smb Relay - Parte 3

En esta tercera parte veremos como configurar una gpo en el controlador de dominio para conseguir que las peticiones SMB vayan firmadas, deshabilitar los protocolos LLMNR y NBT-NS, y añadir una clave de registro para deshabilitar también mDNS y conseguir que el responder no pueda capturar tráfico de red en todo el dominio.

Mitigación de SMB Relay usando gpo

Lo primero que vamos a hacer es configurar una gpo, en mi caso crearé una nueva que se llamará SMB Relay.

Vamos a administración de directivas de grupo y, en objetos de directiva de grupo, damos botón derecho y creamos una nueva gpo con el nombre que queramos.

Luego botón derecho sobre la directiva creada y editar.

Primero vamos a Configuración de equipo, directivas, configuración de windows, configuración de seguridad, directivas locales, opciones de seguridad, y ahí habilitamos dos opciones para que las peticiones smb vayan firmadas.

  • Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre)
  • Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)

A continuación habilitamos en Configuración de equipo, directivas, plantillas administrativas, red, cliente dns, desactivar resolución de nombres de multidifusión. Esta configuración deshabilita las peticiones LLMNR.

Seguídamente vamos a deshabilitar NetBIOS sobre TCP/IP. Esto lo haremos con un script en powershell ya que no existe una gpo específica para ello.

Creamos un script con el siguiente contenido:

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Con esto lo que hacemos es, guardar la ruta del registro en una variable llamada regkey, para luego recorrer todas las interfaces de red disponibles y agregar una clave llamada NetbiosOptions con valor 2.

Lo guardamos por ejemplo como deshabilitar_netbios.ps1 y vamos a agregarlo a la gpo.

Vamos a Configuración del equipo, directivas, configuración de windows, scripts (inicio o apagado), inicio, y en scripts de powershell agregamos el script, con el parámetro -exec bypass.

También ponemos Para este GPO, ejecute los scripts en el orde siguiente: Ejecutar los scripts de windows powershell al principio.

Y por último, tenemos que agregar una clave de registro para las peticiones mDNS. Para ello vamos a Configuración del equipo, preferencias, configuración de windows, registro, y ahí damos botón derecho, nuevo, elemento del registro. En subárbol ponemos HKEY_LOCAL_MACHINE, en ruta de la clave ponemos SYSTEM\CurrentControlSet\Services\Dnscache\Parameters. En nombre del valor EnableMDNS, Tipo de valor REG_DWORD, información del valor 0 y base hexadecimal.

La nueva GPO la podemos vincular al dominio entero, o solo a alguna unidad organizativa, dependiendo de como tengamos configurado el dominio, y aplicará las configuraciones en todos los equipos del dominio o de la unidad organizativa respectívamente.

Con estos cambios aplicados en los equipos la herramienta responder ya no podrá capturar las autenticaciones tal como hemos visto anteriormente.

Puede que también te interese

Reflection Vulnlab Chain

En este artículo vamos a resolver el laboratorio Reflection de la plataforma Vulnlab. Para ello haremos cosas tan chulas como un relay de credenciales desde un mssqlclient, o una explotación de rbcd teniendo el machine account quota a cero.

Game of Active Directory - Parte 6

En esta sexta parte vamos a atacar el servidor kingslanding.sevenkingdoms.local, que es el controlador de dominio de sevenkingdoms.local. Nos aprovecharemos de la relación de confianza bidireccional que tiene con el dominio essos.local que, en este caso está configurado con la opción sid-history. Esto nos permitirá crear un golden ticket con acceso total al dominio sevenkingdoms.local y podremos hacer un dcsync obteniendo el hash del administrador.

Game of Active Directory - Parte 5

En esta quinta parte vamos a atacar el controlador de dominio meereen.essos.local. Tras una enumeración del servicio web en braavos.essos.local descubriremos que dispone del rol ADCS. Veremos que es vulnerable y utilizaremos certipy para obtener la cuenta del administrador de dominio en meereen.essos.local. Por último lo conectaremos al command and control Sliver utilizando el archivo generado en el anterior artículo, aprovechando que está preparado para evadir el defender.

Game of Active Directory - Parte 4

En esta cuarta parte vamos a atacar el dominio essos.local. Conseguiremos credenciales con asreproasting, para luego ver con bloodhound que tenemos el rol GenericAll sobre otra cuenta, y nos aprovecharemos de eso para escalar privilegios. Finalmente obtendremos un beacon de sliver evadiendo el defender.