Al responder al tráfico de red LLMNR/NBT-NS, los adversarios pueden falsificar una fuente autorizada para la resolución de nombres para forzar la comunicación con un sistema controlado por el adversario. Esta actividad puede utilizarse para recoger o retransmitir materiales de autenticación.
Link-Local Multicast Name Resolution (LLMNR) y NetBIOS Name Service (NBT-NS) son componentes de Microsoft Windows que sirven como métodos alternativos de identificación de hosts. LLMNR se basa en el formato del Sistema de Nombres de Dominio (DNS) y permite a los hosts del mismo enlace local realizar la resolución de nombres para otros hosts. NBT-NS identifica los sistemas de una red local por su nombre NetBIOS.
Los adversarios pueden falsificar una fuente autorizada para la resolución de nombres en una red víctima respondiendo al tráfico LLMNR (UDP 5355)/NBT-NS (UDP 137) como si conocieran la identidad del host solicitado, envenenando efectivamente el servicio para que las víctimas se comuniquen con el sistema controlado por el adversario. Si el host solicitado pertenece a un recurso que requiere identificación/autenticación, el nombre de usuario y el hash NTLMv2 serán enviados al sistema controlado por el adversario. El adversario puede entonces recolectar la información del hash enviado a través del cable mediante herramientas que monitorean los puertos para el tráfico o a través de Network Sniffing y descifrar los hashes fuera de línea a través de la Fuerza Bruta para obtener las contraseñas en texto plano. En algunos casos en los que un adversario tiene acceso a un sistema que está en la ruta de autenticación entre sistemas o cuando los escaneos automatizados que utilizan credenciales intentan autenticarse en un sistema controlado por el adversario, los hashes NTLMv2 pueden ser interceptados y retransmitidos para acceder y ejecutar código contra un sistema objetivo. El paso de retransmisión puede ocurrir junto con el envenenamiento, pero también puede ser independiente de éste.
Existen varias herramientas que pueden ser usadas para envenenar servicios de nombres dentro de redes locales como NBNSpoof, Metasploit, y Responder.
Supervise HKLM\Software\Policies\Microsoft\Windows NT\DNSClient para ver los cambios en el valor DWORD «EnableMulticast». Un valor de «0» indica que LLMNR está deshabilitado.
Monitoriza el tráfico en los puertos UDP 5355 y UDP 137 si LLMNR/NetBIOS está deshabilitado por la política de seguridad.
Despliegue una herramienta de detección de falsificación de LLMNR/NBT-NS. La monitorización de los registros de eventos de Windows para los ID de eventos 4697 y 7045 puede ayudar a detectar técnicas de retransmisión exitosas.
