## Определение
::: info
:information_source: NTLM Relay Attack - это атака, которая эксплуатирует уязвимость протокола аутентификации NTLM (NT LAN Manager) в Windows для получения доступа к системам или данных.
:::
## Схема выполнения
Схема выполнения NTLM Relay Attack может быть следующей:
1. Злоумышленник перехватывает сетевой трафик и ищет запросы аутентификации NTLM от целевой системы.
2. Злоумышленник отправляет поддельные NTLM-запросы от имени целевой системы другой системе или сервису в сети. Для этого он может использовать различные методы, такие как SMB Relay или HTTP Relay.
3. Целевая система, думая, что взаимодействует с другой системой или сервисом, отправляет ответы NTLM обратно злоумышленнику.
4. Злоумышленник перехватывает и обрабатывает эти NTLM-ответы, извлекая информацию об аутентификации, такую как хэш пароля.
5. Злоумышленник использует полученные данные аутентификации для получения несанкционированного доступа к системе, ресурсам или данным, к которым был предоставлен доступ с использованием учетных данных целевой системы.
В результате NTLM Relay Attack злоумышленник может получить доступ к целевой системе, подменяя аутентификацию и получая привилегированный доступ от имени атакуемой учетной записи.
::: warning
:information_source: **ВАЖНО**
Для успешного выполнения NTLM Relay Attack требуется некоторая конфигурация сети, такая как доступ к сетевому трафику или возможность перенаправления сетевых запросов. Поэтому важно применять соответствующие меры безопасности, такие как защита от перехвата трафика и использование защищенных протоколов аутентификации, для предотвращения подобных атак.
:::
## Признаки атаки
Признаки компрометации и успешной NTLM атаки могут включать следующие элементы:
1. Необычная активность в сети: Обнаружение необычного или подозрительного сетевого трафика, особенно связанного с протоколом NTLM, может указывать на потенциальную компрометацию или NTLM атаку.
2. Несанкционированный доступ: Если злоумышленник успешно выполнит NTLM атаку, он может получить несанкционированный доступ к системе, ресурсам или данным, к которым был предоставлен доступ с использованием учетных данных целевой системы.
3. Аномальная активность учетной записи: Компрометированная учетная запись может проявлять необычную активность, например, входить в систему из необычных мест или с разных IP-адресов.
4. Расширенные права доступа: Злоумышленник, получивший доступ к системе через NTLM атаку, может использовать привилегированный доступ и расширенные права, чтобы выполнять действия, к которым обычно не имеет доступа.
5. Изменения в логах аудита: Успешная NTLM атака может привести к изменениям в логах аудита, таким как неожиданные входы в систему или попытки доступа к защищенным ресурсам.
6. Обнаружение подозрительных файлов или программ: Обнаружение подозрительных файлов или программ на системе может указывать на компрометацию через NTLM атаку, особенно если злоумышленник выполнил атаку с целью установки вредоносного программного обеспечения.
7. Сообщения об ошибке аутентификации: Появление необычных сообщений об ошибках аутентификации или проблемах с доступом может указывать на возможное проникновение или NTLM атаку.
::: info **ВАЖНО**
:information_source: Признаки могут варьироваться в зависимости от конкретных обстоятельств и типа NTLM атаки. Для обнаружения и предотвращения NTLM атак рекомендуется применять соответствующие меры безопасности, такие как использование сильных паролей, многофакторной аутентификации и мониторинга сетевого трафика.
:::
## Меры безопасности
Для предотвращения NTLM атак и повышения безопасности системы следует рассмотреть следующие конфигурации:
1. Использование более безопасных протоколов аутентификации: Отключите использование устаревших протоколов аутентификации, таких как NTLMv1, и предпочтительно используйте более безопасные протоколы, такие как Kerberos или NTLMv2.
2. Многофакторная аутентификация: Включите многофакторную аутентификацию, которая требует несколько форм проверки подлинности, таких как пароль и одноразовый код, чтобы убедиться в идентификации пользователя.
3. Сильные пароли: Установите требования к паролям, чтобы пользователи использовали сложные и уникальные пароли, включая комбинацию больших и маленьких букв, цифр и специальных символов. Также рекомендуется использовать политику обязательной смены пароля через определенный период времени.
4. Ограничение доступа к NTLM аутентификации: Ограничьте доступ к NTLM аутентификации, особенно через внешние интерфейсы и доступ из внешней сети. Можно использовать фильтры брандмауэра или другие средства для ограничения доступа к протоколу NTLM только внутри надежных сетей или подсетей.
5. Защита от перехвата трафика: Обеспечьте защищенность сетевого трафика, особенно внутри сети, чтобы предотвратить перехват и злоупотребление NTLM-авторизацией. Разработайте и примените соответствующие меры шифрования и сегментации сети.
6. Обновление и патчи: Регулярно обновляйте систему и применяйте последние патчи безопасности, чтобы исправить уязвимости, связанные с протоколом NTLM и другими компонентами системы.
7. Мониторинг и регистрация аудита: Включите мониторинг и регистрацию аудита для обнаружения подозрительной активности, связанной с NTLM аутентификацией. Это позволит отслеживать необычные попытки аутентификации, повышать видимость и реагировать на потенциальные угрозы.
8. Обучение и осведомленность пользователей: Проводите обучение и повышайте осведомленность пользователей о методах атак, включая NTLM атаки, чтобы они были более бдительными и могли распознавать подозрительные ситуации.
:::info
Учет этих конфигураций поможет укрепить безопасность системы и снизить риск успешной NTLM атаки. Однако важно понимать, что безопасность - это комплексный процесс, и рекомендуется применять многоуровневые меры защиты для обеспечения безопасности системы.
:::