Отравление LLMNR/NBT-NS и ретрансляция SMB

Отвечая на сетевой трафик LLMNR/NBT-NS, злоумышленники могут подменять авторитетный источник разрешения имен, чтобы заставить систему взаимодействовать с контролируемой злоумышленником системой. Эта активность может использоваться для сбора или ретрансляции материалов аутентификации. Многоадресное разрешение имен локальных каналов (LLMNR) и служба имен NetBIOS (NBT-NS) — это компоненты Microsoft Windows, которые служат альтернативными методами идентификации узлов. LLMNR основан на формате системы доменных имен (DNS) и позволяет узлам в одном локальном канале выполнять разрешение имен для других узлов. NBT-NS идентифицирует системы в локальной сети по их имени NetBIOS. Злоумышленники могут подделывать авторитетный источник для разрешения имен в сети жертвы, отвечая на трафик LLMNR (UDP 5355)/NBT-NS (UDP 137), как если бы они знали идентичность запрошенного узла, эффективно отравляя службу, чтобы жертвы взаимодействовали с контролируемой злоумышленником системой. Если запрошенный узел принадлежит ресурсу, требующему идентификации/аутентификации, имя пользователя и хеш NTLMv2 будут затем отправлены в контролируемую злоумышленником систему. Злоумышленник может затем собирать хеш-информацию, отправленную по сети, с помощью инструментов, которые мониторят порты на предмет трафика, или с помощью перехвата сетевого трафика и взламывать хеши в автономном режиме с помощью перебора для получения паролей в открытом виде. В некоторых случаях, когда злоумышленник имеет доступ к системе, находящейся на пути аутентификации между системами, или когда автоматизированные сканирования, использующие учетные данные, пытаются аутентифицироваться в контролируемой злоумышленником системе, хеши NTLMv1/v2 могут быть перехвачены и ретранслированы для доступа и выполнения кода против целевой системы. Шаг ретрансляции может происходить в сочетании с отравлением, но также может быть независимым от него. Кроме того, злоумышленники могут инкапсулировать хеши NTLMv1/v2 в различные протоколы, такие как LDAP, SMB, MSSQL и HTTP, для расширения и использования нескольких служб с действительным ответом NTLM. Несколько инструментов могут использоваться для отравления служб имен в локальных сетях, таких как NBNSpoof, Metasploit и Responder.