MITM атака на LLMNR и NBT NS протоколы из Windows

В этом ролике мы с вами рассмотрим отравление LLMNR и NBT-NS с хоста Windows. В предыдущем разделе мы использовали Responder для захвата хэшей. В этом разделе мы рассмотрим инструмент Inveigh и попытаемся захватить учетные записи доменных пользователей. Приятно просмотра! В Mitre ATT&CK эта техника имеет ID: T1557.001, Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay. Чтобы предотвратить описанную в ролике атаку, следуйте гайду из видео. Скрипт для GPO: --------------------------------------------------------------------------------------------------------------------------- $regkey = "HKLM:SYSTEMCurrentControlSetservicesNetBTParametersInterfaces" Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose} --------------------------------------------------------------------------------------------------------------------------- Как можно обнаружить рассмотренную в видео атаку: --------------------------------------------------------------------------------------------------------------------------- Если вкратце, то можно отслеживать трафик на хостах по портам UDP 5355 и 137, а также отслеживать события с идентификаторами 4697 и 7045. Наконец, мы можем отслеживать ключ реестра HKLMSoftwarePoliciesMicrosoftWindows NTDNSClient на предмет изменения DWORD-значения EnableMulticast. Значение 0 будет означать, что LLMNR отключен.