T1557.001: Подмена LLMNR/NBT-NS-ответа и ретрансляция SMB
Злоумышленники могут подменить доверенную службу разрешения имен, которая будет отвечать на сетевой трафик LLMNR/NBT-NS, чтобы обеспечить взаимодействие целевых устройств с подконтрольной им системой. Таким образом они могут собирать или передавать данные для аутентификации.
Link-Local Multicast Name Resolution (LLMNR, многоадресное разрешение имен локальных ссылок) и NetBIOS Name Service (NBT-NS, служба NetBIOS-имен) — это компоненты Microsoft Windows, которые служат альтернативными методами идентификации хостов. LLMNR разработан на базе DNS и позволяет хостам разрешать имена для других хостов, подключенных к той же локальной сети. NBT-NS идентифицирует системы в локальной сети по именам NetBIOS .
Злоумышленники могут подменить доверенную службу разрешения имен в сети жертвы, отвечая на трафик LLMNR (UDP 5355) или NBT-NS (UDP 137) так, словно служба идентифицировала запрашиваемый хост, чтобы обеспечить взаимодействие целевых устройств с подконтрольной им системой. Если запрашиваемый хост принадлежит ресурсу, который требует идентификации/аутентификации, то имя пользователя и хеш NTLMv2 отправляются в подконтрольную злоумышленникам систему. После этого злоумышленники могут собирать передаваемые по сети хеши с помощью средств мониторинга портов или прослушивания сетевого трафика, а затем в автономном режиме взламывать хеши методом перебора, получая пароли в открытом виде.
В некоторых случаях, когда злоумышленники имеют доступ к системе, лежащей на коммуникационном пути между жертвой и службой аутентификации, или когда средства автоматизированного сканирования сети, использующие учетные данные, пытаются выполнить аутентификацию на подконтрольной злоумышленникам системе, возможны перехват и ретрансляция хешей NTLMv1/v2 и их последующее использование для доступа к целевым системам и выполнения кода на них. Ретрансляция может осуществляться одновременно с подменой или независимо от нее. Получив легитимный хеш NTLM, злоумышленники могут инкапсулировать хеши NTLMv1/v2 в различные протоколы, такие как LDAP, SMB, MSSQL и HTTP, чтобы увеличить количество используемых служб.
Для подмены служб разрешения имен в локальных сетях могут использоваться различные инструменты, такие как NBNSpoof, Metasploit и Responder.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vulnerabilities: PT-CR-2659: CVE_2024_38200_Office_NTLM_Relay: Эксплуатация уязвимости CVE-2024-38200 в приложении Microsoft Office. Это может быть признаком атаки NTLM relay после того, как пользователь откроет специально созданный документ по ссылке, отправленной злоумышленником, и выполнит NTLM-аутентификацию mitre_attck_privilege_escalation: PT-CR-852: Remote_Potato_Relay_Hash: NTLM-хеш пользователя, вошедшего в систему, перехвачен с помощью техники RemotePotato mitre_attck_privilege_escalation: PT-CR-851: Remote_Potato_Capture_Hash: NTLM-хеш пользователя перехвачен с помощью техники RemotePotato microsoft_mecm: PT-CR-1865: MECM_NTLM_Relay_Via_SharpSCCM: Принудительная установка клиента MECM с помощью инструмента SharpSCCM для перенаправления аутентификации по протоколу NTLM mitre_attck_lateral_movement: PT-CR-786: NTLM_Relay_Auth: Обнаружена возможная атака NTLM relay
Способы обнаружения
| ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте создание служб и демонов путем поиска событий с идентификаторами 4697 и 7045 в журналах событий Windows . Разверните средство, способное обнаружить подмену данных протоколов LLMNR и NBT-NS. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте трафик, исходящий от неизвестных физических устройств, и нетипичный трафик с известных устройств. В идентификации физических устройств могут помочь метаданные трафика локальной сети (например, MAC-адресация источника), а также использование протоколов управления сетью, таких как DHCP. |
|---|
| ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте трафик на портах 5355 и 137 UDP, если LLMNR/NetBIOS отключены в соответствии с политикой безопасности. |
|---|
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в значении DWORD "EnableMulticast" в HKLM\Software\Policies\Microsoft\Windows NT\DNSClient. Если значение равно 0, LLMNR отключен. |
|---|
Меры противодействия
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите LLMNR и NetBIOS в настройках безопасности локального компьютера или в групповой политике, если они не нужны в среде . |
|---|
| ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Системы обнаружения и предотвращения сетевых вторжений, которые способны выявлять модели трафика, указывающие на атаки типа "злоумышленник посередине", могут использоваться для противодействия этим атакам на сетевом уровне. |
|---|
| ID | M1030 | Название | Сегментация сети | Описание | Сегментация сети может использоваться для изоляции компонентов инфраструктуры, которым не требуется широкий доступ к сети. Она может защитить от атак типа "злоумышленник посередине" или по крайней мере уменьшить их масштабы. |
|---|
| ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Используйте программное обеспечение безопасности на базе хоста для блокировки трафика LLMNR/NetBIOS. Включение подписи SMB может остановить атаки ретрансляции NTLMv2. |
|---|