Envenenamento NBT-NS
O que é Envenenamento NBT-NS?
Envenenamento NBT-NSAtaque adversary-in-the-middle que abusa do trafego legado do NetBIOS Name Service em UDP/137 para forjar respostas de nomes e capturar autenticacoes NTLM.
O NetBIOS Name Service (NBT-NS) e um protocolo de resolucao de nomes do Windows com 30 anos de idade que faz broadcast em UDP/137 quando o LLMNR tambem falha. Como o envenenamento LLMNR, o envenenamento NBT-NS permite que qualquer host do segmento responda com o proprio IP, redirecionando o cliente SMB ou HTTP da vitima a infraestrutura do atacante, onde as credenciais NTLMv2 sao capturadas. Os broadcasts NBT-NS usam nomes de 16 caracteres com padding e um byte de tipo de consulta, manipulados de forma transparente pelo Responder. Desativar NetBIOS sobre TCP/IP em cada interface via opcao DHCP 001 ou nas configuracoes da interface remove de vez esse fallback. Como aplicacoes legadas e clientes Windows antigos ainda dependem dele, defensores devem inventariar e migrar antes da desativacao.
● Exemplos
- 01
Capturar o hash NTLMv2 de um admin de dominio que erra o nome de um servidor com o NetBIOS ainda ativo.
- 02
Forjar o nome WPAD via NBT-NS para injetar configuracao de proxy maliciosa em hosts legados.
● Perguntas frequentes
O que é Envenenamento NBT-NS?
Ataque adversary-in-the-middle que abusa do trafego legado do NetBIOS Name Service em UDP/137 para forjar respostas de nomes e capturar autenticacoes NTLM. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Envenenamento NBT-NS?
Ataque adversary-in-the-middle que abusa do trafego legado do NetBIOS Name Service em UDP/137 para forjar respostas de nomes e capturar autenticacoes NTLM.
Como funciona Envenenamento NBT-NS?
O NetBIOS Name Service (NBT-NS) e um protocolo de resolucao de nomes do Windows com 30 anos de idade que faz broadcast em UDP/137 quando o LLMNR tambem falha. Como o envenenamento LLMNR, o envenenamento NBT-NS permite que qualquer host do segmento responda com o proprio IP, redirecionando o cliente SMB ou HTTP da vitima a infraestrutura do atacante, onde as credenciais NTLMv2 sao capturadas. Os broadcasts NBT-NS usam nomes de 16 caracteres com padding e um byte de tipo de consulta, manipulados de forma transparente pelo Responder. Desativar NetBIOS sobre TCP/IP em cada interface via opcao DHCP 001 ou nas configuracoes da interface remove de vez esse fallback. Como aplicacoes legadas e clientes Windows antigos ainda dependem dele, defensores devem inventariar e migrar antes da desativacao.
Como se defender contra Envenenamento NBT-NS?
As defesas contra Envenenamento NBT-NS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Envenenamento NBT-NS?
Nomes alternativos comuns: Spoofing NBNS, Falsificacao do NetBIOS Name Service.
● Termos relacionados
- attacks№ 620
Envenenamento LLMNR
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
- attacks№ 924
Ataque com Responder
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
- attacks№ 746
Ataque de NTLM Relay
Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.
- attacks№ 1057
Ataque de SMB Relay
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.