Como hackear directorio activo con Icebreaker?

Share this…

Icebreaker automatiza los ataques de red contra Active Directory para entregarle credenciales de texto claro cuando está dentro de la red pero fuera del entorno de Active Directory. Investigadores de seguridad cibernética explican que Icebreaker realiza 5 ataques de red diferentes para credenciales de texto claro y hash. Se han encontrado hashes de Autocracks con JohnTheRipper y una lista de palabras personalizada de 1 millón de contraseñas específicamente para contraseñas de Active Directory.

icebreaker

RID cycling

Utiliza Nmap para encontrar sesiones NULL SMB

Realiza ciclos RID asíncronos para encontrar nombres de usuario válidos

Realiza una contraseña inversa de fuerza bruta de nombres de usuario encontrados

Contraseñas probadas: P @ ssw0rd y <season> <year>, p. Ej., Winter2018

Carga de archivos SCF

Utiliza Nmap para encontrar anónimamente acciones editables en la red

Escribe un archivo SCF en el recurso compartido con un ícono de archivo que apunta a su máquina

Cuando un usuario abre el recurso compartido en Explorer, se le envía su hash

Autocracks el hash con JohnTheRipper y los 10 millones de listas de contraseñas

LLMNR / NBTNS / mDNS

Utiliza Responder.py para envenenar la red de capa 2 y capturar hash de usuario

Autocracks el hash con JohnTheRipper y los 10 millones de listas de contraseñas

SMB relay

Utiliza ntlmrelay.py y Responder.py para transmitir hashes SMB

Después de un relevo exitoso, hará lo siguiente en la máquina de la víctima:

Agregar un usuario administrativo – icebreaker: P @ ssword123456

Ejecuta una versión de Mimikatz omitida y analiza el resultado para hashes y contraseñas.

IPv6 DNS

Utiliza mitm6 y ntlmrelayx.py para envenenar el DNS IPv6 y capturar hash de usuario y máquina

Crea un servidor WPAD falso con autenticación

Esto puede causar fácilmente problemas de conectividad de red para los usuarios, por lo que especialistas en seguridad de datos recomiendan usarlos con moderación.

Cómo funciona

Realizará los 5 ataques de red anteriores en orden. El RID cycling y las cargas de archivos SCF generalmente van más rápido, luego permanece en el ataque 3, Responder.py, durante 10 minutos de manera predeterminada. Después de ese período de tiempo, o de la cantidad de tiempo especificada por el usuario, pasarán a los dos ataques finales que se ejecutan en paralelo e indefinidamente.

Después de realizar un ciclo de RID y una fuerza bruta asíncrona, pasa a cargar archivos SCF a recursos compartidos anónimamente editables. De acuerdo con los expertos en seguridad cibernética, si un archivo SCF se cargó con éxito y un usuario visita ese archivo compartido en Explorer, se capturará el hash del usuario y se intentará descifrarlo mediante Icebreaker. Si el hash es capturado mientras el ataque 4, SMB retransmite, se está ejecutando, el hash será retransmitido para la posible ejecución del comando. Trasladar un hash a otra máquina permite suplantar al usuario cuyo hash capturamos y si ese usuario tiene derechos administrativos para la máquina, transmitimos el hash para que luego podamos ejecutar el comando.

Cuando ntlmrelayx retransmite un hash capturado, ejecutará un comando PowerShell codificado en base64 que primero agrega un usuario administrativo (rompehielos: P @ ssword123456) y luego ejecuta una versión ofuscada y omisión de AMSI de Mimikatz. Este resultado de mimikatz se analiza y se entrega al usuario en la salida estándar, así como en el archivo found-passwords.txt si se encuentran contraseñas de texto sin formato o hashes NTLM.

Si el Icebreaker se ejecuta con –auto flag, luego de alcanzar el ataque 4 Icebreaker ejecutará Empire y DeathStar en ventanas xterm. En lugar de ejecutar mimikatz en el dispositivo remota a la que transmitimos el hash, Icebreaker agrega un usuario administrativo e inmediatamente después ejecuta el código del iniciador de PowerShell de Empire para obtener un agente en la máquina remota. DeathStar usará este agente para automatizar el proceso de adquisición del administrador del dominio. Las ventanas Empire y DeathStar xterm no se cerrarán cuando salgas de Icebreaker.

El descifrado de contraseñas se realiza con JohnTheRipper y una lista de palabras personalizada. La lista de palabras se filtro y no incluye contraseñas con: todas minúsculas, todas mayúsculas, todos los símbolos, menos de 7 caracteres, más de 32 caracteres. Esto ajusta los requisitos de contraseña predeterminados de Active Directory y llevaron la lista de 20 millones a poco más de 1 millón, lo que según los profesionales de seguridad de datos hace que el descifrado de las contraseñas sea extremadamente rápido.

Intoxicación DNS IPv6; este ataque es propenso a causar problemas en la red. Causa errores de certificado en las máquinas cliente en el navegador. También reducirá la velocidad de la red. De acuerdo a expertos en seguridad de datos, los entornos Windows AD son vulnerables por defecto.

Icebreaker 1