Envenenamiento NBT-NS
¿Qué es Envenenamiento NBT-NS?
Envenenamiento NBT-NSAtaque adversario en medio que abusa del trafico heredado de NetBIOS Name Service en UDP/137 para falsificar respuestas de nombres y capturar autenticaciones NTLM.
NBT-NS es un protocolo de resolucion de nombres de Windows con 30 anos de antiguedad que emite broadcasts UDP/137 cuando tambien falla LLMNR. El envenenamiento NBT-NS, igual que el de LLMNR, permite que cualquier host del segmento responda con su propia IP, redirigiendo al cliente SMB o HTTP de la victima a la infraestructura del atacante para capturar credenciales NTLMv2. Los broadcasts NBT-NS usan nombres de 16 caracteres con padding y un byte de tipo de consulta, lo que Responder gestiona de forma transparente. Deshabilitar NetBIOS sobre TCP/IP en todas las interfaces mediante la opcion DHCP 001 o ajustes de interfaz elimina por completo este fallback. Como algunas apps heredadas y clientes Windows antiguos aun dependen de el, los defensores deben inventariar y migrar antes de desactivarlo.
● Ejemplos
- 01
Capturar el hash NTLMv2 de un admin de dominio que escribe mal un nombre de servidor con NetBIOS aun habilitado.
- 02
Falsificar el nombre WPAD por NBT-NS para inyectar una configuracion de proxy maliciosa en hosts heredados.
● Preguntas frecuentes
¿Qué es Envenenamiento NBT-NS?
Ataque adversario en medio que abusa del trafico heredado de NetBIOS Name Service en UDP/137 para falsificar respuestas de nombres y capturar autenticaciones NTLM. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Envenenamiento NBT-NS?
Ataque adversario en medio que abusa del trafico heredado de NetBIOS Name Service en UDP/137 para falsificar respuestas de nombres y capturar autenticaciones NTLM.
¿Cómo funciona Envenenamiento NBT-NS?
NBT-NS es un protocolo de resolucion de nombres de Windows con 30 anos de antiguedad que emite broadcasts UDP/137 cuando tambien falla LLMNR. El envenenamiento NBT-NS, igual que el de LLMNR, permite que cualquier host del segmento responda con su propia IP, redirigiendo al cliente SMB o HTTP de la victima a la infraestructura del atacante para capturar credenciales NTLMv2. Los broadcasts NBT-NS usan nombres de 16 caracteres con padding y un byte de tipo de consulta, lo que Responder gestiona de forma transparente. Deshabilitar NetBIOS sobre TCP/IP en todas las interfaces mediante la opcion DHCP 001 o ajustes de interfaz elimina por completo este fallback. Como algunas apps heredadas y clientes Windows antiguos aun dependen de el, los defensores deben inventariar y migrar antes de desactivarlo.
¿Cómo defenderse de Envenenamiento NBT-NS?
Las defensas contra Envenenamiento NBT-NS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Envenenamiento NBT-NS?
Nombres alternativos comunes: Spoofing NBNS, Suplantacion NetBIOS Name Service.
● Términos relacionados
- attacks№ 620
Envenenamiento LLMNR
Tecnica adversario en medio (MITRE T1557.001) que abusa del protocolo Link-Local Multicast Name Resolution en UDP/5355 para redirigir a las victimas a hosts controlados por el atacante.
- attacks№ 924
Ataque con Responder
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
- attacks№ 746
Ataque de NTLM Relay
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
- attacks№ 1057
Ataque de SMB Relay
Variante especifica de NTLM relay en la que el atacante reenvia la autenticacion SMB de una victima a otro servidor SMB para ejecutar codigo o acceder a archivos con su identidad.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.