NBT-NS/LLMNR Poisoning Menggunakan Responder

Ini adalah salahsatu teknik serangan favorit ketika melakukan internal network pentest baik itu di lingkungan Workstation ataupun Active Directory. Hal pertama yang harus dilakukan ketika kita berada dalam jaringan internal adalah melakukan serangan MiTM menggunakan Responder, dan menunggu korban melakukan autentikasi ke "fake service" yang telah kita siapkan.

LLMNR

LLMNR (Link-Local Multicast Name Resolution) adalah protokol komunikasi jaringan yang digunakan dalam lingkungan lokal untuk menemukan dan meresolusi nama komputer saat DNS (Domain Name System) tidak tersedia. Ini memungkinkan perangkat dalam jaringan lokal untuk saling berkomunikasi dan menemukan sumber daya meskipun tidak terhubung ke server DNS. Namun, karena LLMNR tidak memiliki mekanisme keamanan yang kuat, itu dapat menjadi celah keamanan yang dapat dieksploitasi oleh penyerang untuk melakukan serangan seperti penipuan, pencurian informasi, atau pemalsuan DNS.

NBT-NS

NBT-NS (NetBIOS Name Service) adalah layanan yang digunakan dalam jaringan Windows untuk memetakan nama NetBIOS (Network Basic Input/Output System) ke alamat IP. Ini memungkinkan perangkat dalam jaringan untuk berkomunikasi menggunakan nama NetBIOS, yang digunakan dalam sistem operasi Windows yang lebih tua untuk mengidentifikasi perangkat dalam jaringan. NBT-NS bekerja di atas protokol UDP dan dapat digunakan untuk menemukan dan menghubungkan perangkat dalam jaringan lokal. Namun, seperti LLMNR, NBT-NS juga rentan terhadap serangan seperti spoofing dan man-in-the-middle karena kurangnya fitur keamanan yang kuat.

Poisoning Menggunakan Responder

Sementara Responder sendiri merupakan tool yang berfungsi sebagai poisoner. Dan tidak hanya LLMNR ataupun NBT-NS, Responder juga dapat digunakan untuk menangkap kredensial HTTP, MSSQL, LDAP, WinRM, dsb.

Penjelasan singkat mengenai bagaimana tool ini bekerja adalah: 

Normalnya, ketika client atau target gagal me-resolve hostname via DNS, maka ia akan beralih ke name resolution melalui LLMNR atau NBT-NS. Nah, ketika attacker menyalakan fake service melalui Responder, maka yang terjadi adalah Responder akan "menangkap" seluruh request LLMNR dan NBT-NS yang dilakukan oleh client atau target kita.

Untuk menjalankan Responder sendiri cukup mudah. Kita hanya perlu tau akan menjalankannya di interface apa. Misal kalian berada di internal network dengan jaringan wifi, maka harusnya Responder berjalan di wlan0, atau jika menggunakan kabel LAN harusnya di eth0. Namun di tutorial ini karena lab berjalan di VMware, maka saya akan menjalankan responder di interface vmnet8.

sudo responder -I vmnet8

Dan ini yang terjadi ketika client atau korban mencoba terhubung ke host atau target yang tidak valid.

Kita berhasil mendapatkan kredensial atau hash NTLMv2 dari korban.

Cracking The Hashes

Untuk melakukan cracking hash NTLMv2, kalian bisa menggunakan john ataupun hashcat.

hashcat -m 5600 ntlm.txt /usr/share/wordlists/rockyou-utf8.txt


Atau menggunakan john:

john --wordlist=/usr/share/wordlists/rockyou.txt ntlm.txt

Alternatif Responder

Oke, diatas kita sudah mendemokan bagaimana melakukan poisoning menggunakan Reponder. Namun bagaimana jika kita sedang melakukan assesment menggunakan VPN, kita sudah berhasil mendapatkan akses ke salah-satu mesin Windows, dan kita memiliki IP yang berada diluar subnet dari target kita?
Kita bisa menggunakan alternatif Reponder, yakni Inveigh.

Tools
https://github.com/Kevin-Robertson/Inveigh
Cukup jalankan Inveigh.exe menggunakan privilege Administrator.

Dan berikut contoh ketika kita berhasil melakukan capture credentials.

Selanjutnya tinggal kita crack saja hash nya seperti step sebelumnya.

Mitigasi

Mitigasi serangan ini adalah menonaktifkan NBT-NS dan LLMNR.

  • https://www.blackhillsinfosec.com/how-to-disable-llmnr-why-you-want-to/

Oke mungkin sekian sharing kali ini, semoga bermanfaat.

Posting Komentar untuk "NBT-NS/LLMNR Poisoning Menggunakan Responder "