NetBIOS nelle mani di un hacker

In questo articolo verrà fornita una breve panoramica su cosa può dirci un elemento apparentemente comune come NetBIOS. Quali informazioni può fornire a un potenziale aggressore/pentester.

L'area di applicazione delle tecniche di intelligence illustrata si riferisce a reti interne, cioè isolate e non accessibili dall'esterno. Tali reti sono presenti di solito in qualsiasi azienda, anche la più piccola.

Di per sé NetBIOS viene generalmente utilizzato per ottenere un nome di rete. E questo sarà sufficiente per fare almeno 4 cose.

Rilevamento degli host
Grazie al fatto che NetBIOS può utilizzare UDP come trasporto, la sua velocità consente di rilevare host in reti molto grandi. Ad esempio, lo strumento nbtscan, incluso in un pacchetto omonimo, è in grado di risolvere gli indirizzi di rete del tipo 192.168.0.0/16 in soli 2 secondi (poteva bloccare la rete), mentre una scansione TCP tradizionale richiederebbe decine di minuti. Questa caratteristica può essere utilizzata come tecnica di rilevamento degli host (host sweep) in reti molto grandi, delle quali non si conosce nulla, prima di avviare nmap. Sebbene il risultato non garantisca una rilevazione al 100%, poiché risponderanno principalmente host Windows e non tutti, permetterà comunque di determinare in quali approssimativi intervalli si trovano gli host attivi.

Identificazione degli host
Utilizzando i risultati della conversione dei nomi dagli indirizzi IP:

NetBIOS nelle mani di un hacker

si può vedere: oltre a ciò che il nome rivela il proprietario della workstation (anche se questo in effetti non è sempre il caso), uno degli indirizzi si distingue chiaramente dagli altri. Possiamo vedere che è stato ottenuto il nome KALI. Questo comportamento è tipico, di norma, per unix-l’implementazione SMB/NetBIOS all’interno del pacchetto samba o per vecchie versioni di Windows 2000.
Ottenere il nome KALI, mentre su altri host questo <unknown> indica la presenza di quella che viene chiamata null-session. Con le impostazioni predefinite il server SMB-tende ad essere vulnerabile. linux inclini a questo. Null-session consente di ottenere in modo completamente anonimo (senza che inseriamo alcuna password, come si può vedere nello screenshot) molte informazioni aggiuntive, come la politica password locale, l'elenco degli utenti locali, dei gruppi e delle risorse condivise (condivisioni):

NetBIOS nelle mani di un hacker
Spesso sui server SMB linuxci sono condivisioni pubbliche non solo in lettura, ma persino in scrittura. La presenza di entrambe comporta diversi rischi, il cui utilizzo va oltre il tema di questo articolo.

NetBIOS consente anche di ottenere i nomi di tutti i tipi che memorizza la workstation:

NetBIOS nelle mani di un hacker

in questo caso, permette di scoprire che l'host è anche un controller di dominio ARRIVA.

Vale anche la pena notare che NetBIOS permette di ottenere mac-indirizzo. A differenza delle richieste arp, le richieste NetBIOS possono uscire dal subnet. Questo può essere utile, ad esempio, se si desidera trovare un laptop o un hardware specifico in rete, conoscendo il produttore. Poiché i primi tre ottetti mac-dell'indirizzo identificano il produttore, è possibile inviare richieste simili. NetBIOS-tentativi di ricerca del dispositivo desiderato in tutte le subnetwork conosciute (http://standards-oui.ieee.org/oui.txt).

Determinazione dell'appartenenza a dominio
Spesso, durante la navigazione nelle reti aziendali interne, è necessario attaccare precisamente una workstation collegata al dominio (ad esempio, per ottenere privilegi di livello amministrativo di dominio) o viceversa. In questo caso NetBIOS può nuovamente essere utile:

NetBIOS nelle mani di un hacker

In questo caso, tramite NetBIOS sono stati ottenuti tutti i nomi di tutti i tipi. Tra essi si può notare, oltre al nome del PC (quello già ottenuto in precedenza), anche il nome del gruppo di lavoro. Per default, per windows è generalmente qualcosa di simile a WORKGROUP o IVAN-PC, ma se la workstation è in un dominio, allora il suo gruppo di lavoro è proprio il nome del dominio.
In questo modo, tramite NetBIOS è possibile scoprire se la workstation è nel dominio e, in caso affermativo, in quale.
Se è invece necessario ottenere un elenco degli host di dominio all'interno della subnet, è sufficiente un solo pacchetto broadcast con il nome del dominio desiderato:

NetBIOS nelle mani di un hacker

in risposta risponderanno tutti gli host che appartengono a questo dominio.

Rilevamento di host multihomed
E infine, un'altra tecnica probabilmente molto poco conosciuta, che è semplicemente indispensabile per trovare percorsi in reti protette, che possono anche essere fisicamente isolate. Queste possono essere reti di produzione di imprese, cariche di controller. L'accesso a questa rete per un attaccante significa avere la possibilità di influenzare il processo tecnologico, e per l'azienda c'è il rischio di subire enormi perdite.
Quindi, la questione è che anche se la rete è isolata dalla rete aziendale, spesso alcuni amministratori, per pigrizia o per altri motivi, amano attivare un'interfaccia di rete sui propri PC per accedere a questa rete. Tutto ciò avviene, ovviamente, eludendo varie regole dei firewall aziendali. Comodo, sì, ma non molto sicuro; in caso di violazione, diventerai un ponte verso questa rete e ne assumerai la responsabilità.
Tuttavia, per l'attaccante c'è un problema — trovare quell'amministratore che si è connesso a una rete protetta in modo illegale. Inoltre, questo è un compito difficile anche per gli esperti di sicurezza della rete. In grandi aziende, è davvero una sfida, come trovare un ago in un pagliaio.
In questa situazione, ci sarebbero due chiare opzioni per l'attaccante:
1. tentare di utilizzare ogni PC nella sottorete aziendale come gateway verso la rete richiesta. Sarebbe molto comodo, ma questo è raro, poiché su windows host ip forwarding è quasi sempre disabilitato. Inoltre, tale verifica è possibile solo all'interno della propria sottorete e richiede all'attaccante di conoscere esattamente l'indirizzo di destinazione della rete isolata.
2. cercare di accedere da remoto a ogni host ed eseguire un semplice comando ipconfig/ifconfig. E qui non è tutto così semplice. Anche se l'attaccante ha ottenuto i diritti di amministratore di dominio, nessuno ha annullato i firewall di rete e locali. Questa operazione non può quindi essere automatizzata al 100%. Di conseguenza, rimane l'arduo compito di accedere a ogni host, superando i firewall di rete (che spesso bloccano proprio la porta 445/tcp), sperando finalmente di vedere l'interfaccia di rete desiderata.

Tuttavia, c'è un modo molto più semplice. Esiste un trucco estremamente semplice che consente di ottenere da un dato host un elenco delle interfacce di rete. Supponiamo di avere un certo host:

NetBIOS nelle mani di un hacker

questo è un reverse resolve di un indirizzo IP → nome di rete. Se ora proviamo a fare un resolve diretto da nome di rete → indirizzo IP:

NetBIOS nelle mani di un hacker

scopriremo che questo host è anche un gateway (presumibilmente) in un'altra rete. È importante notare che in questo caso la richiesta è stata effettuata in modalità broadcast. In altre parole, solo gli host nella subnet dell'attaccante la sentiranno.
Se l'host target si trova al di fuori della subnet, è possibile inviare una richiesta mirata:

NetBIOS nelle mani di un hacker

In questo caso, si vede che l'obiettivo è al di fuori della subnet dell'attaccante. Con il flag -B è stato specificato che la richiesta dovrebbe essere inviata a un indirizzo specifico e non in broadcast.
Ora resta solo da raccogliere velocemente informazioni su tutta la subnet di interesse, e non su un solo indirizzo. Per questo si può usare un piccolo python-script:

NetBIOS nelle mani di un hacker

E dopo pochi secondi:

NetBIOS nelle mani di un hacker

L'host selezionato, in questo caso improvvisato, sarebbe diventato il primo obiettivo dell'attaccante, se avesse preso di mira la rete 172.16.1/24.

NetBIOS nelle mani di un hacker

Nomi ripetuti su indirizzi IP diversi indicano che l'host ha anche due schede di rete, ma già nella stessa subnet. Qui vale la pena notare che NetBIOS non divulga alias-s (che possono essere facilmente calcolati tramite richieste arp come ip con lo stesso mac). In questo caso indirizzi ip hanno diversi mac.

Un altro esempio di utilizzo di questa tecnica è il Wi-Fi pubblico. A volte si può incontrare una situazione in cui tra i dispositivi ospiti connessi a una rete pubblica si connette personale che lavora in un segmento aziendale chiuso. In tal caso, utilizzando questa tecnica di intelligence, un attaccante può rapidamente delineare un percorso per accedere alla rete privata:

NetBIOS nelle mani di un hacker

In questo caso, tra 65 clienti del Wi-Fi pubblico vi erano due stazioni di lavoro con un'interfaccia aggiuntiva, probabilmente appartenente alla rete aziendale.

Se a volte tra segmenti di rete o direttamente sulle stazioni di lavoro si osserva la filtrazione del traffico sulla porta 445/tcp, impedendo l'accesso remoto al sistema (l'esecuzione remota del codice), in questo caso per la risoluzione dei nomi si NetBIOS utilizza la porta 137/udp, il cui blocco consapevole è raro, poiché comprometterebbe seriamente la comodità di lavoro nella rete, ad esempio, l'ambiente di rete potrebbe scomparire, ecc.

Come si suol dire, l'enumerazione è la chiave
C'è protezione contro questo? Non c'è perché non è nemmeno una vulnerabilità. È solo una funzionalità di base di ciò che è disponibile di default. windows (in linux il comportamento è leggermente diverso). E se, per caso, vi collegate in modo non autorizzato a una rete chiusa, il malintenzionato vi troverà sicuramente e lo farà molto rapidamente.

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster