NTLM (NT LAN Manager) — це протокол аутентифікації, який Microsoft розробила для захисту доступу до ресурсів у Windows-середовищах. Хоча NTLM давно застарів і був замінений більш сучасними методами, як-от Kerberos, його все ще використовують у багатьох організаціях. Саме тому NTLM є привабливою ціллю для зловмисників. У цій статті ми розглянемо, що таке NTLM атаки, як вони працюють, основні методи їх реалізації та як захистити вашу мережу.
Що таке NTLM?
NTLM — це протокол, який забезпечує автентифікацію користувачів через виклики й відповіді (challenge-response). Він використовує хешовані паролі для перевірки особистості користувача без передачі самих паролів у мережі.
Основні етапи роботи NTLM:
- Клієнт запитує доступ до ресурсу.
- Сервер надсилає унікальний виклик (challenge).
- Клієнт створює відповідь (response) на основі виклику та свого пароля.
- Сервер перевіряє відповідь і вирішує, чи надати доступ.
Як працюють NTLM атаки?
Попри те, що NTLM хешує паролі, цей протокол має кілька слабких місць, які зловмисники активно використовують. Ось основні типи атак:
1. Атака Relay (перенаправлення)
Це один із найпоширеніших методів атаки. Суть полягає в тому, що зловмисник перехоплює запит клієнта та пересилає його до легітимного сервера від імені жертви.
Сценарій:
- Зловмисник організовує атаку “людина посередині” (Man-in-the-Middle) між клієнтом і сервером.
- NTLM-хеші перехоплюються та пересилаються серверу для отримання доступу.
2. Pass-the-Hash (Передача хешу)
Ця атака дозволяє зловмисникам автентифікуватися в системі без знання пароля. Достатньо лише отримати хеш пароля.
Сценарій:
- Зловмисник отримує доступ до NTLM-хешу через експлойти або компрометацію системи.
- Хеш використовується для входу на інші системи.
3. Brute Force і Dictionary атаки
Хеші, отримані через NTLM, можуть бути атаковані за допомогою інструментів для зламу паролів, таких як:
- Hashcat
- John the Ripper
Чому NTLM уразливий?
Основні причини уразливості NTLM:
- Слабкі хеші: NTLM використовує застарілі алгоритми, які легко розкрити.
- Відсутність шифрування сеансів: NTLM не захищає трафік, що дозволяє перехоплювати дані.
- Підтримка в сучасних системах: Багато організацій все ще дозволяють використання NTLM для зворотної сумісності.
Як захиститися від NTLM атак?
Щоб мінімізувати ризики, дотримуйтесь наступних рекомендацій:
1. Вимкніть NTLM там, де це можливо
- Замініть NTLM на Kerberos, який є більш безпечним і сучасним протоколом.
- Вимкніть NTLM у налаштуваннях політики безпеки Windows.
2. Використовуйте багатофакторну автентифікацію (MFA)
MFA додає додатковий рівень захисту, навіть якщо хеш NTLM буде скомпрометований.
3. Впроваджуйте безпечні мережеві практики
- Використовуйте протоколи шифрування (TLS) для захисту трафіку.
- Обмежте доступ до критичних систем тільки з довірених IP-адрес.
4. Моніторинг і виявлення
- Встановіть системи моніторингу, які зможуть виявляти підозрілу активність у мережі.
- Використовуйте інструменти, такі як Microsoft Advanced Threat Analytics (ATA).
Інструменти для тестування NTLM уразливостей
Для аналізу безпеки можна використовувати:
- Responder — для перехоплення NTLM-хешів.
- Impacket — бібліотека для роботи з NTLM і тестування атак relay.
- Metasploit — для тестування Pass-the-Hash атак.
Висновок
NTLM атаки залишаються серйозною загрозою для організацій, які використовують застарілі протоколи автентифікації. Перехід на сучасні технології, такі як Kerberos, впровадження багатофакторної автентифікації та використання безпечних мережевих практик — це ключові кроки до захисту вашої мережі.
Пам’ятайте, що захист інформації — це постійний процес, і важливо завжди бути на крок попереду зловмисників.




