Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1557.001 - Подделка LLMNR/NBT-NS и SMB Relay

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1557 , T1557.001 , T1557.002 , T1557.003 , T1557.004

Отвечая на сетевой трафик LLMNR/NBT-NS, злоумышленники могут подделать авторитетный источник разрешения имен, чтобы принудительно установить связь с системой, контролируемой Злоумышленником. Эта деятельность может использоваться для сбора или передачи материалов для аутентификации.

Link-Local Multicast Name Resolution (LLMNR) и NetBIOS Name Service (NBT-NS) - это компоненты Microsoft Windows, которые служат альтернативными методами идентификации хостов. LLMNR основана на формате системы доменных имен (DNS) и позволяет узлам на одном локальном канале связи выполнять разрешение имен для других узлов. NBT-NS идентифицирует системы в локальной сети по их NetBIOS-имени.(Цитата: Wikipedia LLMNR)(Цитата: TechNet NetBIOS)

Злоумышленники могут подделать авторитетный источник разрешения имен в сети жертвы, отвечая на трафик LLMNR (UDP 5355)/NBT-NS (UDP 137) так, как будто они знают личность запрашиваемого узла, эффективно отравляя службу, чтобы жертвы общались с системой, контролируемой злоумышленниками. Если запрашиваемый узел принадлежит ресурсу, требующему идентификации/аутентификации, имя пользователя и хэш NTLMv2 будут отправлены в систему, контролируемую злоумышленником. Затем Злоумышленник может собрать хэш-информацию, переданную по проводу, с помощью инструментов, отслеживающих трафик на портах, или с помощью Network Sniffing и взломать хэши в автономном режиме с помощью Brute Force, чтобы получить пароли в открытом виде.

В некоторых случаях, когда Злоумышленник имеет доступ к системе, находящейся на пути аутентификации между системами, или когда автоматическое сканирование, использующее учетные данные, пытается аутентифицироваться в системе, контролируемой Злоумышленником, хэши NTLMv1/v2 могут быть перехвачены и переданы для доступа и выполнения кода против целевой системы. Этап ретрансляции может происходить вместе с отравлением, но может быть и независимым от него.(Цитата: byt3bl33d3r NTLM Relaying)(Цитата: Secure Ideas SMB Relay) Кроме того, Злоумышленники могут инкапсулировать хэши NTLMv1/v2 в различные протоколы, такие как LDAP, SMB, MSSQL и HTTP, чтобы расширить и использовать несколько служб с действительным ответом NTLM.

Для отравления служб имен в локальных сетях можно использовать несколько инструментов, таких как NBNSpoof, Metasploit и Responder.(Цитата: GitHub NBNSpoof)(Цитата: Rapid7 LLMNR Spoofer)(Цитата: GitHub Responder)

https://attack.mitre.org/techniques/T1557/001

← Назад

Визуализация смежных техник для T1557.001

Отрасль:
 с подтехниками
Техника

Закрыть