# AN1274 — Analytic 1274 ## Descrição Detecta tráfego de rede anômalo no UDP 5355 (LLMNR) e UDP 137 (NBT-NS) combinado com tentativas não autorizadas de relay SMB, modificações de registro reabilitando resolução de nome multicast ou criação de serviços suspeitos indicativos de interceptação de credenciais adversary-in-the-middle. A telemetria inclui capturas de tráfego de rede, logs de eventos do Windows para modificações de serviço e auditoria de alterações de registro em chaves de resolução de nome. Essa análise é crítica para detectar ataques de captura de hash NTLM que adversários usam para comprometer credenciais de domínio sem autenticação direta. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1557.001-llmnr-nbt-ns-poisoning|T1557.001 — LLMNR/NBT-NS Poisoning]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] --- *Fonte: [MITRE ATT&CK — AN1274](https://attack.mitre.org/detectionstrategies/DET0462#AN1274)*