NBT-NS 投毒
NBT-NS 投毒 是什么?
NBT-NS 投毒一种中间人攻击,利用 UDP/137 上的传统 NetBIOS 名称服务流量伪造名称应答,以捕获 NTLM 认证。
NetBIOS 名称服务 (NBT-NS) 是 Windows 一个有 30 年历史的名称解析协议,会在 LLMNR 也失败时通过 UDP/137 广播查询。与 LLMNR 投毒类似,NBT-NS 投毒允许同一网段的任意主机以自己的 IP 响应查询,将受害者的 SMB 或 HTTP 客户端重定向到攻击者基础设施,从而捕获 NTLMv2 凭据。NBT-NS 广播使用 16 字符填充的名称和查询类型字节,Responder 可以透明处理。在所有接口上通过 DHCP 选项 001 或接口设置禁用 NetBIOS over TCP/IP,可彻底移除这一回退机制。由于部分遗留应用和旧版 Windows 客户端仍依赖它,防守方在禁用前必须先盘点并迁移。
● 示例
- 01
在 NetBIOS 仍启用的环境中,捕获一名域管理员在拼错服务器名时泄露的 NTLMv2 哈希。
- 02
通过 NBT-NS 伪造 WPAD 名称,在遗留主机上注入恶意代理配置。
● 常见问题
NBT-NS 投毒 是什么?
一种中间人攻击,利用 UDP/137 上的传统 NetBIOS 名称服务流量伪造名称应答,以捕获 NTLM 认证。 它属于网络安全的 攻击与威胁 分类。
NBT-NS 投毒 是什么意思?
一种中间人攻击,利用 UDP/137 上的传统 NetBIOS 名称服务流量伪造名称应答,以捕获 NTLM 认证。
NBT-NS 投毒 是如何工作的?
NetBIOS 名称服务 (NBT-NS) 是 Windows 一个有 30 年历史的名称解析协议,会在 LLMNR 也失败时通过 UDP/137 广播查询。与 LLMNR 投毒类似,NBT-NS 投毒允许同一网段的任意主机以自己的 IP 响应查询,将受害者的 SMB 或 HTTP 客户端重定向到攻击者基础设施,从而捕获 NTLMv2 凭据。NBT-NS 广播使用 16 字符填充的名称和查询类型字节,Responder 可以透明处理。在所有接口上通过 DHCP 选项 001 或接口设置禁用 NetBIOS over TCP/IP,可彻底移除这一回退机制。由于部分遗留应用和旧版 Windows 客户端仍依赖它,防守方在禁用前必须先盘点并迁移。
如何防御 NBT-NS 投毒?
针对 NBT-NS 投毒 的防御通常结合技术控制与运营实践,详见上方完整定义。
NBT-NS 投毒 还有哪些其他名称?
常见的别称包括: NBNS 投毒, NetBIOS 名称服务欺骗。
● 相关术语
- attacks№ 620
LLMNR 投毒
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
- attacks№ 924
Responder 攻击
利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。
- attacks№ 746
NTLM Relay 攻击
一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。
- attacks№ 1057
SMB Relay 攻击
NTLM Relay 的一种特定变体,攻击者将受害者的 SMB 认证转发到另一台 SMB 服务器,以受害者身份获取代码执行或文件访问。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。