网安引领时代,弥天点亮未来
4.打开数据包内容如下。
5.打印机服务强制认证攻击的特征简单概况就是源IP调用了目的IP的打印机服务,然后目的IP会通过445端口smb协议反向连接回源IP进行认证。
6.我们要先筛选出流量内所有调用打印机服务的源IP。
7.一般都是通过smb连接共享,然后创建文件spools,然后再通过dcerpc去调用spools。
8.uuid=12345678-1234-abcd-ef00-0123456789ab就是打印机服务的唯一uuid。
9.所以(dcerpc.cn_bind_to_uuid == 12345678-1234-abcd-ef00-0123456789ab)可以筛选出来所有调用了打印机服务的源IP。
10.然后再筛选出数据包内所有包含NTLMSSP_NEGOTIATE的数据包,这个代表smb认证协商请求,所以搜索了ntlmssp.messagetype==0x00000001
11.这个时候结果已经很明显了,源IP:172.16.66.37向目的IP:172.16.66.36发起了调用打印机服务的请求,在这之后目的IP:172.16.66.36会通过445端口smb协议反向连接回源IP:172.16.66.37进行smb认证的协商。
12.通过这样排查,我们可以找到有人正在使用打印机服务强制认证攻击。
13.这种检测方式误报几率比较低,因为很少会有源IP调用打印机服务之后马上出现目的IP反向认证的情况。
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
原文始发于微信公众号(弥天安全实验室):wireshark流量分析之打印机服务强制认证攻击检测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论