ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1171

术语表: /attack/glossary

LLMNR/NBT-NS 中毒

链路本地多播名称解析 (LLMNR) 和 NetBIOS 名称服务 (NBT-NS) 是 Microsoft Windows 组件,可作为主机识别的备用方法。LLMNR 基于域名系统 (DNS) 格式,允许同一本地链路上的主机对其他主机执行名称解析。NBT-NS 通过本地网络上的 NetBIOS 名称来标识系统。

攻击者可以通过响应 LLMNR (UDP 5355)/NBT-NS (UDP 137) 流量来欺骗受害者网络上权威的名称解析源,使其误以为攻击者请求主机的身份,从而有效地污染服务,使受害者能够与攻击者控制的系统通信。如果请求的主机需要标识/身份验证,那么用户名和 NTLMv2 散列将被发送到攻击者控制的系统。然后攻击者可以通过端口流量的监视工具或网络嗅探收集网络中发送的散列信息,并通过离线爆破散列以获得明文密码。

有些工具可用于污染本地网络中的名称服务,如 NBNSpoof、Metasploit 和 Responder。

缓解

如果环境中不需要 LLMNR 和 NetBIOS,则在本地计算机安全设置或按组策略禁用它们。

使用基于主机的安全软件来拦截 LLMNR/NetBIOS 流量。

检测

监视 HKLM\Software\Policies\Microsoft\Windows NT\DNSClient,查看是否有对“EnableMulticast”DWORD 值的更改。 值“0”表示禁用 LLMNR。

如果安全策略禁用 LLMNR / NetBIOS,则监视端口 UDP 5355 和 UDP 137 上的流量。 部署检测 LLMNR/NBT-NS 欺骗的工具。