Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

SMBetray, outil SMB MiTM axé sur l'attaque des clients via l'échange de contenu de fichiers, l'échange de fichiers et la compromission de toutes les données transmises en texte clair


Version 1.0.0. Cet outil est un PoC pour démontrer la capacité d'un attaquant à intercepter et à modifier des connexions SMB non sécurisées, ainsi qu'à compromettre certaines connexions SMB sécurisées si les informations d'identification sont connues.

Contexte


Sorti à Defcon26 à "SMBetray - Backdooring and Breaking Signatures"
Dans les connexions SMB, les mécanismes de sécurité protégeant l'intégrité des données transmises entre le serveur et le client sont la signature et le chiffrement SMB. Les signatures sur les paquets SMB lorsque la signature SMB est utilisée sont basées sur des clés dérivées d'informations envoyées sur le réseau en texte clair pendant la phase d'authentification, ainsi que sur le mot de passe de l'utilisateur. Si le mot de passe de l'utilisateur est connu, un attaquant peut recréer SessionBaseKey et toutes les autres clés SMB et les utiliser pour modifier les paquets SMB et les signer à nouveau afin qu'ils soient traités comme des paquets valides et légitimes par le serveur et le client. En outre, la signature est désactivée par défaut sur la plupart des éléments, à l'exception des contrôleurs de domaine. Il est donc rare de devoir casser les signatures.
Le but de cet outil est de changer l’objectif de MiTM sur SMB d’attaquer le serveur via des connexions relayées, d’attaquer le client via des fichiers malveillants et des données de porte dérobée / remplacées lorsque l’opertité frappe. Enfin, comme le chiffrement est rarement utilisé, cet outil permet, au strict minimum, de voler des fichiers transmis en clair sur le réseau, ce qui peut s’avérer utile pour l’énumération du système ou endommager les données interceptées (PCI, PII). , etc).
Plus d'informations de fond et de démos peuvent être trouvées ici : https://blog.quickbreach.io/smbetray-backdooring-and-breaking-signatures/

Installation


Nécessite un système utilisant iptables
sudo bash install.sh

Utilisation


Tout d'abord, exécutez une attaque bidirectionnelle d'empoisonnement arp-cache entre votre victime et son partage de passerelle ou de réseau de destination, par exemple:
sudo arpspoof -i -c both -t -r

Ensuite, lancez smbetray avec certains modules d'attaque
sudo ./smbetray.py --passive ./StolenFilesFolder --lnkSwapAll "powershell -noP -sta -w 1 -enc AABCAD....(etc)" -I eth0

Demonstration


Une démo de l'outil peut être trouvée ici: https://blog.quickbreach.io/smbetray-backdooring-and-breaking-signatures/

Caractéristiques



Remarque


Plus d'informations à venir - actuellement, l'outil ne prend pas en charge les connexions SMBv1 uniquement, ce qui n'est pas un problème dans 99% des cas. Le code est moche, mais il a une grande personnalité.

Avertissement


L'utilisation de ce programme ne peut se faire que dans le cadre légal d'un audit de vulnérabilités, basé sur le consentement mutuel. Il est de la responsabilité de l'utilisateur final de ne pas utiliser ce programme dans un autre cadre. SecuriteInfo.com n'assume aucune responsabilité et n'est pas responsable de toute mauvaise utilisation ou de tout dommage causé par ce programme.

Téléchargement



Partager cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2018 - Tous droits réservés - SecuriteInfo.com