Егор, если Вы стали рассматривать атаки на примере inveigh, то можно было рассматреть другие варианты атак с использованием данного инструмента. Можете опубликовать вторую часть видео ? Рассмотреть атаки тапа http, dhcpv6 и тд
@@МаксимВоробьев-г4ъ не торопитесь, у нас ещё все впереди, пока смотрим поверхностно и постепенно углубимся, что не разберу в курсе, разберу чуть позже в дополнительных видео :)
lmnr, nbtns отключили. Как на счет mdns? Он так же опасен? Итак что я понял. Винда ищет в такой последовательности: - локальный кэш - смотрит файл hosts - llmnr - nbt-ns - mdns - dns Нам нужно прикрыть "лавочку" для llmnr, nbt-ns, mdns. Добавить имена компьютеров в dns сервер, либо в hosts. - Включить подписывание от relay атак. - отключить ipv6. Если конечно в сети нет dhcpv6. Иначе mitm6 добрый вечер. - Использовать только net-ntlmv2(включить соответсвующую опцию), т.к netntlmv1 можно разобрать до обычного ntlm и далее pass-the-hash или радужные таблицы, в любом случаее более быстрый перебор. Подскадите пожалуйста, не желательнл использовать smb1, т.к он не умеет в netntlmv2? При каких условиях windows осущетвляет поиск проки сервера? wpad
На самом деле вы сильно забегаете вперед, но в целом отвечу поверхностно на ваши вопросы: 1. Относительно mDNS: mDNS (Multicast DNS) может быть потенциально опасен, как и LLMNR и NBT-NS. Он используется в локальных сетях для резолва имен без необходимости DNS-сервера, но также может быть использован злоумышленниками для атак. 2. Поиск прокси-сервера (WPAD): Windows осуществляет поиск прокси-сервера при следующих условиях: - Включен автоматический поиск прокси-конфигурации - Отсутствует явно заданный прокси-сервер - Механизм работает через: * DHCP * DNS (Auto-config script) * Локальный файл * Групповые политики 3. Относительно SMB1: SMB1 действительно не поддерживает NTLMv2, что делает его небезопасным. Рекомендации: - Полностью отключить SMB1 - Использовать только SMB2/SMB3 - Принудительно включить только NTLMv2 Дополнительные рекомендации по безопасности: - Полностью отключить LLMNR и NBT-NS - Внести компьютеры в DNS/hosts - Включить защиту от relay-атак - Отключить IPv6 (если нет необходимости) - Использовать только NTLMv2 - Настроить групповые политики для принудительной безопасности
Спасибо огромное ! Отдельный респект за способы предотвращения данной атаки
Всегда пожалуйста, рад помочь!
Егор, если Вы стали рассматривать атаки на примере inveigh, то можно было рассматреть другие варианты атак с использованием данного инструмента. Можете опубликовать вторую часть видео ? Рассмотреть атаки тапа http, dhcpv6 и тд
@@МаксимВоробьев-г4ъ не торопитесь, у нас ещё все впереди, пока смотрим поверхностно и постепенно углубимся, что не разберу в курсе, разберу чуть позже в дополнительных видео :)
как-то не стыкуется.... рассказывать про использование inveight и объяснять как запустить что-то от имени администратора
в целом спасибо за ролик
спасибо учту на будущее, могу забыться и начать подробно рассказывать то, что можно было не трогать :D Надеюсь вам это не доставило неудобств
lmnr, nbtns отключили. Как на счет mdns? Он так же опасен?
Итак что я понял. Винда ищет в такой последовательности:
- локальный кэш
- смотрит файл hosts
- llmnr
- nbt-ns
- mdns
- dns
Нам нужно прикрыть "лавочку" для llmnr, nbt-ns, mdns.
Добавить имена компьютеров в dns сервер, либо в hosts.
- Включить подписывание от relay атак.
- отключить ipv6. Если конечно в сети нет dhcpv6. Иначе mitm6 добрый вечер.
- Использовать только net-ntlmv2(включить соответсвующую опцию), т.к netntlmv1 можно разобрать до обычного ntlm и далее pass-the-hash или радужные таблицы, в любом случаее более быстрый перебор.
Подскадите пожалуйста, не желательнл использовать smb1, т.к он не умеет в netntlmv2?
При каких условиях windows осущетвляет поиск проки сервера? wpad
На самом деле вы сильно забегаете вперед, но в целом отвечу поверхностно на ваши вопросы:
1. Относительно mDNS:
mDNS (Multicast DNS) может быть потенциально опасен, как и LLMNR и NBT-NS. Он используется в локальных сетях для резолва имен без необходимости DNS-сервера, но также может быть использован злоумышленниками для атак.
2. Поиск прокси-сервера (WPAD):
Windows осуществляет поиск прокси-сервера при следующих условиях:
- Включен автоматический поиск прокси-конфигурации
- Отсутствует явно заданный прокси-сервер
- Механизм работает через:
* DHCP
* DNS (Auto-config script)
* Локальный файл
* Групповые политики
3. Относительно SMB1:
SMB1 действительно не поддерживает NTLMv2, что делает его небезопасным. Рекомендации:
- Полностью отключить SMB1
- Использовать только SMB2/SMB3
- Принудительно включить только NTLMv2
Дополнительные рекомендации по безопасности:
- Полностью отключить LLMNR и NBT-NS
- Внести компьютеры в DNS/hosts
- Включить защиту от relay-атак
- Отключить IPv6 (если нет необходимости)
- Использовать только NTLMv2
- Настроить групповые политики для принудительной безопасности