NBT-NS-Poisoning
Was ist NBT-NS-Poisoning?
NBT-NS-PoisoningAdversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
NetBIOS Name Service (NBT-NS) ist ein 30 Jahre altes Windows-Namensaufloesungsprotokoll, das per UDP/137 broadcastet, wenn auch LLMNR scheitert. Wie LLMNR-Poisoning erlaubt NBT-NS-Poisoning jedem Host im selben Segment, mit der eigenen IP zu antworten, und leitet den SMB- oder HTTP-Client des Opfers zur Angreifer-Infrastruktur, wo NTLMv2-Credentials abgegriffen werden. NBT-NS-Broadcasts nutzen 16 Zeichen lange Namen mit Padding und ein Query-Type-Byte, was Responder transparent handhabt. Das Deaktivieren von NetBIOS ueber TCP/IP an jedem Interface (DHCP-Option 001 oder Interface-Einstellungen) entfernt diesen Fallback vollstaendig. Da einige Altanwendungen und alte Windows-Clients darauf bauen, ist eine Inventur und Migration vor der Deaktivierung Pflicht.
● Beispiele
- 01
Erfassen des NTLMv2-Hashes eines Domain-Admins, der einen Servernamen vertippt, waehrend NetBIOS noch aktiv ist.
- 02
Spoofing des Namens WPAD ueber NBT-NS zur Injektion einer schadhaften Proxy-Konfiguration auf Legacy-Hosts.
● Häufige Fragen
Was ist NBT-NS-Poisoning?
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet NBT-NS-Poisoning?
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
Wie funktioniert NBT-NS-Poisoning?
NetBIOS Name Service (NBT-NS) ist ein 30 Jahre altes Windows-Namensaufloesungsprotokoll, das per UDP/137 broadcastet, wenn auch LLMNR scheitert. Wie LLMNR-Poisoning erlaubt NBT-NS-Poisoning jedem Host im selben Segment, mit der eigenen IP zu antworten, und leitet den SMB- oder HTTP-Client des Opfers zur Angreifer-Infrastruktur, wo NTLMv2-Credentials abgegriffen werden. NBT-NS-Broadcasts nutzen 16 Zeichen lange Namen mit Padding und ein Query-Type-Byte, was Responder transparent handhabt. Das Deaktivieren von NetBIOS ueber TCP/IP an jedem Interface (DHCP-Option 001 oder Interface-Einstellungen) entfernt diesen Fallback vollstaendig. Da einige Altanwendungen und alte Windows-Clients darauf bauen, ist eine Inventur und Migration vor der Deaktivierung Pflicht.
Wie schützt man sich gegen NBT-NS-Poisoning?
Schutzmaßnahmen gegen NBT-NS-Poisoning kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für NBT-NS-Poisoning?
Übliche alternative Bezeichnungen: NBNS-Poisoning, NetBIOS-Name-Service-Spoofing.
● Verwandte Begriffe
- attacks№ 620
LLMNR-Poisoning
Adversary-in-the-Middle-Technik (MITRE T1557.001), die das Link-Local Multicast Name Resolution-Protokoll auf UDP/5355 missbraucht, um Opfer auf vom Angreifer kontrollierte Hosts umzuleiten.
- attacks№ 924
Responder-Angriff
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
- attacks№ 746
NTLM-Relay-Angriff
Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.
- attacks№ 1057
SMB-Relay-Angriff
Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.