NBT-NS-отравление
Что такое NBT-NS-отравление?
NBT-NS-отравлениеАтака «человек посередине», использующая устаревший трафик NetBIOS Name Service на UDP/137 для подмены ответов на имена и сбора NTLM-аутентификаций.
NetBIOS Name Service (NBT-NS) — это уже 30-летний протокол разрешения имён Windows, рассылающий broadcast-запросы по UDP/137, когда LLMNR тоже не справляется. Как и в случае с LLMNR, при NBT-NS-отравлении любой узел сегмента может ответить своим IP, перенаправляя SMB- или HTTP-клиента жертвы на инфраструктуру атакующего, где перехватываются NTLMv2-учётные данные. Broadcast-кадры NBT-NS используют 16-байтовые имена с заполнением и байт типа запроса, что Responder обрабатывает прозрачно. Отключение NetBIOS over TCP/IP на каждом интерфейсе через опцию DHCP 001 или свойства интерфейса полностью убирает этот фолбэк. Поскольку часть устаревших приложений и старых Windows-клиентов от него зависит, защитникам нужно инвентаризировать и мигрировать до отключения.
● Примеры
- 01
Захват NTLMv2-хеша доменного администратора, опечатавшегося в имени сервера при включённом NetBIOS.
- 02
Подмена имени WPAD через NBT-NS для внедрения вредоносной прокси-конфигурации на устаревших узлах.
● Частые вопросы
Что такое NBT-NS-отравление?
Атака «человек посередине», использующая устаревший трафик NetBIOS Name Service на UDP/137 для подмены ответов на имена и сбора NTLM-аутентификаций. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает NBT-NS-отравление?
Атака «человек посередине», использующая устаревший трафик NetBIOS Name Service на UDP/137 для подмены ответов на имена и сбора NTLM-аутентификаций.
Как работает NBT-NS-отравление?
NetBIOS Name Service (NBT-NS) — это уже 30-летний протокол разрешения имён Windows, рассылающий broadcast-запросы по UDP/137, когда LLMNR тоже не справляется. Как и в случае с LLMNR, при NBT-NS-отравлении любой узел сегмента может ответить своим IP, перенаправляя SMB- или HTTP-клиента жертвы на инфраструктуру атакующего, где перехватываются NTLMv2-учётные данные. Broadcast-кадры NBT-NS используют 16-байтовые имена с заполнением и байт типа запроса, что Responder обрабатывает прозрачно. Отключение NetBIOS over TCP/IP на каждом интерфейсе через опцию DHCP 001 или свойства интерфейса полностью убирает этот фолбэк. Поскольку часть устаревших приложений и старых Windows-клиентов от него зависит, защитникам нужно инвентаризировать и мигрировать до отключения.
Как защититься от NBT-NS-отравление?
Защита от NBT-NS-отравление обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия NBT-NS-отравление?
Распространённые альтернативные названия: NBNS-отравление, NetBIOS Name Service spoofing.
● Связанные термины
- attacks№ 620
LLMNR-отравление
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
- attacks№ 924
Атака с использованием Responder
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
- attacks№ 746
Атака NTLM Relay
Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.
- attacks№ 1057
Атака SMB Relay
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.