Принудительная аутентификация

Злоумышленники могут собирать материал учетных данных, вызывая или заставляя пользователя автоматически предоставлять информацию для аутентификации через механизм, в котором они могут перехватить ее. Протокол Server Message Block (SMB) обычно используется в сетях Windows для аутентификации и обмена данными между системами для доступа к ресурсам и обмена файлами. Когда система Windows пытается подключиться к ресурсу SMB, она автоматически попытается выполнить аутентификацию и отправить информацию об учетных данных для текущего пользователя на удаленную систему. Такое поведение типично в корпоративных средах, чтобы пользователям не нужно было вводить учетные данные для доступа к сетевым ресурсам. Web Distributed Authoring and Versioning (WebDAV) также обычно используется системами Windows в качестве резервного протокола, когда SMB заблокирован или не работает. WebDAV — это расширение HTTP и обычно работает через TCP-порты 80 и 443. Злоумышленники могут воспользоваться этим поведением для получения доступа к хешам учетных записей пользователей через принудительную аутентификацию SMB/WebDAV. Злоумышленник может отправить пользователю вложение через целевой фишинг, содержащее ссылку на ресурс на внешнем сервере, контролируемом злоумышленником (т.е. Внедрение шаблона), или разместить специально созданный файл на пути навигации для привилегированных учетных записей (например, файл .SCF, размещенный на рабочем столе) или на публично доступном общем ресурсе для доступа жертвы(ами). Когда система пользователя обращается к недоверенному ресурсу, она попытается выполнить аутентификацию и отправить информацию, включая хешированные учетные данные пользователя, по SMB на сервер, контролируемый злоумышленником. Имея доступ к хешу учетных данных, злоумышленник может выполнить автономный Перебор для получения учетных данных в открытом виде. Существует несколько различных способов, как это может произойти. Некоторые детали из реального использования включают: * Вложение целевого фишинга, содержащее документ с ресурсом, который автоматически загружается при открытии документа (т.е. Внедрение шаблона). Документ может включать, например, запрос, подобный file[:]//[remote address]/Normal.dotm, для инициирования SMB-запроса. * Модифицированный файл .LNK или .SCF с именем файла значка, указывающим на внешнюю ссылку, такую как \\[remote address]\pic.png, которая заставит систему загрузить ресурс при отрисовке значка для повторного сбора учетных данных. Альтернативно, используя функцию EfsRpcOpenFileRaw, злоумышленник может отправлять SMB-запросы на интерфейс MS-EFSRPC удаленной системы и заставить компьютер жертвы инициировать процедуру аутентификации и поделиться своими данными аутентификации. Encrypting File System Remote Protocol (EFSRPC) — это протокол, используемый в сетях Windows для операций обслуживания и управления зашифрованными данными, которые хранятся удаленно для доступа по сети. Использование функции EfsRpcOpenFileRaw в EFSRPC применяется для открытия зашифрованного объекта на сервере для резервного копирования или восстановления. Злоумышленники могут собрать эти данные и злоупотреблять ими как частью атаки ретрансляции NTLM для получения доступа к удаленным системам в той же внутренней сети.