SMBetray, outil SMB MiTM

Version 1.0.0. Cet outil est un PoC pour démontrer la capacité d'un attaquant à intercepter et à modifier des connexions SMB non sécurisées, ainsi qu'à compromettre certaines connexions SMB sécurisées si les informations d'identification sont connues.

Contexte

Sorti à Defcon26 à "SMBetray - Backdooring and Breaking Signatures"
Dans les connexions SMB, les mécanismes de sécurité protégeant l'intégrité des données transmises entre le serveur et le client sont la signature et le chiffrement SMB. Les signatures sur les paquets SMB lorsque la signature SMB est utilisée sont basées sur des clés dérivées d'informations envoyées sur le réseau en texte clair pendant la phase d'authentification, ainsi que sur le mot de passe de l'utilisateur. Si le mot de passe de l'utilisateur est connu, un attaquant peut recréer SessionBaseKey et toutes les autres clés SMB et les utiliser pour modifier les paquets SMB et les signer à nouveau afin qu'ils soient traités comme des paquets valides et légitimes par le serveur et le client. En outre, la signature est désactivée par défaut sur la plupart des éléments, à l'exception des contrôleurs de domaine. Il est donc rare de devoir casser les signatures.
Le but de cet outil est de changer l’objectif de MiTM sur SMB d’attaquer le serveur via des connexions relayées, d’attaquer le client via des fichiers malveillants et des données de porte dérobée / remplacées lorsque l’opertité frappe. Enfin, comme le chiffrement est rarement utilisé, cet outil permet, au strict minimum, de voler des fichiers transmis en clair sur le réseau, ce qui peut s’avérer utile pour l’énumération du système ou endommager les données interceptées (PCI, PII). , etc).
Plus d'informations de fond et de démos peuvent être trouvées ici : https://blog.quickbreach.io/blog/smbetray-backdooring-and-breaking-signatures/

Installation

Nécessite un système utilisant iptables


sudo bash install.sh

Utilisation

Tout d'abord, exécutez une attaque bidirectionnelle d'empoisonnement arp-cache entre votre victime et son partage de passerelle ou de réseau de destination, par exemple:


sudo arpspoof -i  -c both -t  -r

Ensuite, lancez smbetray avec certains modules d'attaque


sudo ./smbetray.py --passive ./StolenFilesFolder --lnkSwapAll "powershell -noP -sta -w 1 -enc AABCAD....(etc)" -I eth0

Demonstration

Une démo de l'outil peut être trouvée ici: https://blog.quickbreach.io/smbetray-backdooring-and-breaking-signatures/

Caractéristiques

Télécharger passivement tout fichier envoyé sur le câble en clair
Rétrograder les clients vers NTLMv2 au lieu de Kerberos
Injecter des fichiers dans des répertoires lorsqu'ils sont visualisés par un client
Remplacer tous les fichiers par un LNK portant le même nom pour exécuter une commande fournie en cliquant
Remplacez uniquement les fichiers exécutables par un LNK portant le même nom pour exécuter une commande fournie en cliquant dessus
Remplacez les fichiers avec l'extension X par les contenus du fichier avec l'extension X dans le répertoire local fourni
Remplacez les fichiers avec le nom insensible à la casse X par le contenu du fichier partageant le même nom dans le répertoire fourni

Remarque

Plus d'informations à venir - actuellement, l'outil ne prend pas en charge les connexions SMBv1 uniquement, ce qui n'est pas un problème dans 99% des cas. Le code est moche, mais il a une grande personnalité.

Avertissement

L'utilisation de ce programme ne peut se faire que dans le cadre légal d'un audit de vulnérabilités, basé sur le consentement mutuel. Il est de la responsabilité de l'utilisateur final de ne pas utiliser ce programme dans un autre cadre. SecuriteInfo.com n'assume aucune responsabilité et n'est pas responsable de toute mauvaise utilisation ou de tout dommage causé par ce programme.