NBT-NS ポイズニング.

UDP/137 上のレガシーな NetBIOS Name Service 通信を悪用して名前応答を偽造し、NTLM 認証を収集する中間者攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

UDP/137 上のレガシーな NetBIOS Name Service 通信を悪用して名前応答を偽造し、NTLM 認証を収集する中間者攻撃。

NetBIOS Name Service (NBT-NS) は 30 年来の Windows 名前解決プロトコルで、LLMNR も失敗したときに UDP/137 でブロードキャストクエリを送出します。NBT-NS ポイズニングは LLMNR ポイズニングと同様、同じセグメントの任意のホストが自分の IP で応答し、被害者の SMB/HTTP クライアントを攻撃者インフラに誘導して NTLMv2 認証情報を奪います。NBT-NS のブロードキャストは 16 文字パディング名とクエリタイプバイトを使い、Responder が透過的に処理します。すべてのインターフェースで DHCP オプション 001 やインターフェース設定により NetBIOS over TCP/IP を無効化すれば、このフォールバックは完全に消えます。一部のレガシーアプリや古い Windows クライアントが依存しているため、防御側は無効化前に棚卸しと移行が必要です。

NBT-NS ポイズニング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: NBNS ポイズニング, NetBIOS Name Service スプーフィング。