Hackers roubam hashes de autenticação NTLM do Windows em ataques de phishing
5 de Março de 2024

O grupo hacker conhecido como TA577 recentemente mudou táticas ao usar emails para pescar autenticações de hash NT LAN Manager (NTLM) para realizar sequestros de contas.

O TA577 é considerado um corretor de acesso inicial (IAB), anteriormente associado ao Qbot e ligado a infecções por ransomware Black Basta.

A empresa de segurança de e-mail, Proofpoint, reporta hoje que, embora tenha visto o TA577 mostrando uma preferência recente pelo uso do Pikabot, duas ondas recentes de ataques demonstram uma tática diferente.

Campanhas distintas do TA577 lançadas em 26 e 27 de fevereiro de 2024, disseminaram milhares de mensagens para centenas de organizações em todo o mundo, visando hashes NTLM dos funcionários.

Os hashes NTLM são usados no Windows para autenticação e segurança de sessão e podem ser capturados para quebrar senhas off-line e obter a senha em texto simples.

Além disso, eles podem ser usados em ataques de 'passar o hash' que não envolvem quebra de senha, onde os atacantes usam o hash como ele é para autenticar em um servidor ou serviço remoto.

Os hashes roubados podem, sob certas circunstâncias e dependendo das medidas de segurança em vigor, permitir que os atacantes elevem seus privilégios, sequestrem contas, acessem informações sensíveis, evitem produtos de segurança e se movam lateralmente dentro de uma rede violada.

A nova campanha começou com e-mails de phishing que parecem ser respostas a uma discussão anterior de um alvo, uma técnica conhecida como sequestro de threads.

Os e-mails anexam (por vítima) arquivos ZIP únicos contendo arquivos HTML que usam tags META de atualização HTML para gatilhar uma conexão automática com um arquivo de texto em um servidor externo de bloco de mensagem do servidor (SMB).

Quando o dispositivo Windows se conecta ao servidor, ele tentará automaticamente realizar um desafio/resposta NTLMv2, permitindo que o servidor controlado pelo atacante remoto roube os hashes de autenticação NTLM.

"É notável que o TA577 entregou o HTML malicioso em um arquivo zip para gerar um arquivo local no host", lê o relatório da Proofpoint.

"Se o URI do esquema de arquivo fosse enviado diretamente no corpo do e-mail, o ataque não funcionaria em clientes de email do Outlook corrigidos desde julho de 2023".

A Proofpoint afirma que essas URLs não entregaram nenhum payload de malware, por isso seu objetivo principal parece ser capturar hashes NTLM.

A Proofpoint menciona artefatos específicos presentes nos servidores SMB que geralmente são não padronizados, como o toolkit de código aberto Impacket, que é um indicativo de que esses servidores são usados em ataques de phishing.

O profissional de segurança cibernética Brian, em Pittsburgh, observa que para os agentes de ameaças usarem esses hashes roubados para violar as redes, a autenticação multifatorial deve estar desativada nas contas.

O pesquisador de vulnerabilidades Will Dormann sugere que é possível que os hashes não estejam sendo roubados para violar redes, mas sim como uma forma de reconhecimento para encontrar alvos valiosos.

"Eu poderia imaginar que a combinação de nome de domínio, nome de usuário e nome de host poderia extrair alguns alvos suculentos?", tuitou Dormann.

A Proofpoint afirma que restringir o acesso de convidado aos servidores SMB sozinho não mitiga o ataque do TA577, pois ele explora a autenticação automática ao servidor externo que contorna a necessidade de acesso de convidado.

Uma medida potencialmente efetiva pode ser configurar um firewall para bloquear todas as conexões externas SMB (tipicamente portas 445 e 139), interrompendo o envio de hashes NTLM.

Outra medida de proteção seria implementar a filtragem de e-mails que bloqueia mensagens contendo arquivos HTML compactados, pois podem desencadear conexões a pontos finais inseguros ao serem lançados.

Também é possível configurar a 'Segurança de rede: Restringir NTLM: Tráfego NTLM de saída para servidores remotos' da política de grupo do Windows para evitar o envio de hashes NTLM.

No entanto, isso pode levar a problemas de autenticação contra servidores legítimos.

Para organizações que usam o Windows 11, a Microsoft introduziu um recurso de segurança adicional para os usuários do Windows 11 para bloquear ataques baseados em NTLM via SMBs, o que seria uma solução eficaz.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...