一、事件概述
近期,网络安全公司Resecurity发布了一份研究分析报告,其中披露了一项名为“MITM6 + NTLM Relay”的攻击技术组合,该技术的潜在威胁性迅速吸引了行业内外的高度重视。这项攻击技术组合的运作机制颇具针对性,其核心是利用Windows系统对IPv6协议的默认处理规则,再结合NTLM认证中继漏洞,形成一套完整的攻击链条。令人警惕的是,实施该攻击无需依赖零日漏洞(未被发现或公开的漏洞),也无需植入恶意软件,攻击者就能快速完成权限提升操作,最终实现对企业 Windows 域环境的完全控制,这意味着企业内部的核心数据、系统配置等关键资源都将面临被操控的风险。
为何这项攻击技术能轻易奏效?这与企业网络管理中普遍存在的一个技术管理盲点密切相关。目前,大多数企业的网络环境同时支持IPv4和IPv6两种协议。然而IT管理员在日常安全管控中,往往将重点放在了IPv4流量上,却忽略了对IPv6流量的监测与防护。而该攻击技术恰恰抓住了Windows系统的一个默认行为:即便企业网络并未专门配置IPv6,Windows主机在启动时,仍会优先尝试建立IPv6连接,并自动发送DHCPv6请求来寻找对应的服务器。
攻击者正是利用了这一管理漏洞和系统默认机制,在无需物理接触企业网络的情况下,就能远程实施攻击。具体步骤为:首先,通过仿冒IPv6 DNS服务器,劫持受害主机的网络配置,尤其是关键的DNS解析功能。这一步会导致受害主机无法正常访问合法网络资源,转而被引导至攻击者控制的地址。随后,攻击者借助NTLM中继技术,窃取受害主机的认证凭证(如用户名、密码相关信息),并利用这些凭证创建虚假的计算机账户,混入企业网络环境。最后,通过滥用资源基础约束委托(RBCD)机制,突破权限限制,最终获取域管理员权限。攻击者一旦掌握域管理员权限,攻击者便能提取企业所有用户的密码哈希,从而实现对整个企业 Windows 域的全面控制。
此外,研究人员还在报告中指出,攻击者还巧妙利用了Active Directory(AD,活动目录,企业用于管理用户、计算机等资源的核心服务)的两项默认设置,进一步放大了攻击的风险和影响范围。第一项默认设置是:任何已通过认证的域用户,无需拥有特殊权限,就能添加最多10个计算机账户,这一限制由AD中的ms-DS-MachineAccountQuota属性控制。这为攻击者创建虚假计算机账户提供了便利条件,使其无需突破额外权限限制就能潜伏在企业网络中。第二项默认设置是:计算机账户有权通过LDAP(轻量级目录访问协议,用于访问和维护AD中的目录信息)修改自身的msDS-AllowedToActOnBehalfOfOtherIdentity属性。攻击者正是利用这一点,滥用资源型约束委派(RBCD)机制,成功伪装成特权账户,绕过企业的常规权限核查,顺利实施后续的权限提升操作。
二、攻击过程技术分析:
黑客的攻击过程大概可分为几个关键步骤,研究人员也通过具体实验环境,演示了其可行性:
伪造DHCPv6服务器,劫持DNS解析:
攻击者使用工具mitm6运行命令如“sudo mitm6 –d target.local --no-ra”,在网络中充当虚假的DHCPv6和DNS服务器。当Windows主机发送DHCPv6请求时,mitm6会响应并分配恶意DNS地址,从而拦截所有名称解析请求。这一步利用了IPv6的自动配置机制,即使网络未启用IPv6,也会触发。
中继NTLM认证到LDAP,创建恶意账户:
攻击者结合Impacket套件的ntlmrelayx工具,使用运行命令如“sudo impacket-ntlmrelayx –ts –6 -t ldaps://target.local -wh fakewpad –add-computer –delegate-access”。当受害主机尝试认证时,ntlmrelayx会拦截NTLM凭证,并中继到LDAP服务器。通过滥用ms-DS-MachineAccountQuota,攻击者创建虚假计算机账户,并修改其属性(如msDS-AllowedToActOnBehalfOfOtherIdentity),允许该账户代表高权限用户行事,实现RBCD滥用。
提取域密码哈希:
攻击者使用创建的账户凭证,运行Secretsdump.py命令如“Secretsdump.py ‘target.local/User:Password@target.local’”,提取域内所有用户和管理员的密码哈希,包括NTLM哈希。这一步标志着攻击者已获得敏感数据,可用于进一步横向移动。
扫描并控制主机:
攻击者利用CrackMapExec(CME)工具测试认证范围,如“Crackmapexec smb 10.0.0.1/8 -u administrator –H 1f937b21e2e0ada0d3d3f7cf58c8aade –share”,识别可访问主机。随后,通过WMIExec或PsExec工具(如“Wmiexec target.local/Administrator@192.168.10.3 -no-pass –hashes ‘aad3b435b51404eeaad3b435b51536ee:1f937b56ihe0ada02edf377yr8c8aade’”)登录并控制这些机器,实现持久化访问。
整个过程依赖于多项漏洞,IPv6自动配置的默认启用、AD账户配额的宽松设置、SMB/LDAP缺乏签名,以及RBCD机制的滥用潜力。如果网络未禁用NTLM或启用扩展保护认证(EPA),攻击成功率将接近100%。
图 1 攻击链演练示意图
三、防护建议
研究人员强调,这一攻击方法并非不可防范。企业可采取以下措施:
网络层防护:
若未使用IPv6,立即禁用它;启用RA Guard和DHCPv6 Guard阻挡路由广告和DHCPv6流量;通过VLAN隔离网络流量。
认证强化:
强制SMB和LDAP签名,禁用NTLM认证;启用EPA增强保护。
lAD配置优化:将ms-DS-MachineAccountQuota设为0,限制RBCD使用;加强特权账户审计。
监控与检测:
使用IDS/IPS检测虚假DHCPv6服务器;监控账户创建和NTLM中继迹象。
四、总结
综合来看,“MITM6 + NTLM Relay”这套攻击技术组合的危险性极高。在缺乏SMB(服务器消息块协议,用于文件、打印机等资源共享)和LDAP签名保护的企业网络环境中,黑客能轻松实现NTLM认证的中继操作,导致权限在短时间内快速升级,攻击流程几乎没有明显阻碍。更值得警惕的是,该攻击的实施门槛极低,攻击者仅需输入几行命令,就能完成整个攻击过程。而且这种攻击方式适用于大多数未进行安全强化配置(即未针对潜在漏洞进行加固、优化的基础网络配置)的企业网络,这意味着大量企业都可能成为该攻击技术的目标。
参考链接:
https://www.resecurity.com/blog/article/mitm6-ntlm-relay-how-ipv6-auto-configuration-leads-to-full-domain-compromise
声明:本文来自白泽安全实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
