det0462-detect-llmnrnbt-ns-poisoning-and-smb-relay-on-windows

# DET0462 — Detect LLMNR/NBT-NS Poisoning and SMB Relay on Windows ## Descrição LLMNR (Link-Local Multicast Name Resolution) e NBT-NS (NetBIOS Name Service) são protocolos de resolução de nomes utilizados em redes Windows quando o DNS não consegue resolver um hostname. Adversários posicionados na mesma rede local podem responder a essas consultas de broadcast com endereços IP controlados (poisoning), fazendo com que a vítima tente autenticar em um serviço SMB falso e capturando hashes NTLMv2 que podem ser quebrados offline ou retransmitidos (relay) para autenticação em outros serviços. O ataque é facilmente executado com ferramentas como Responder e Inveigh, que funcionam como servidores SMB, HTTP e outros protocolos falsos que capturam credenciais NTLM. Em redes corporativas Windows sem segmentação adequada, esse ataque pode resultar em comprometimento em massa de credenciais de usuários e, via SMB relay, em execução remota de código em sistemas sem assinatura SMB obrigatória. É um dos ataques de movimento lateral mais comuns em testes de penetração e em incidentes reais. A detecção cobre múltiplos vetores: monitorar respostas LLMNR/NBT-NS de hosts que não são servidores DNS autorizados, identificar padrões de consulta seguidos de autenticação NTLM para IP diferente do servidor legítimo, e alertar sobre tentativas de autenticação SMB de origem inesperada. ## Indicadores de Detecção - Resposta a broadcast LLMNR (multicast `FF02::1:3`, UDP 5355) originada de host que não é servidor DNS - Resposta NBT-NS (UDP 137) de host não autorizado a consultas de broadcast de nome - Tentativa de autenticação NTLM para IP que não corresponde ao servidor normalmente associado ao nome consultado - Execução de `Responder.py`, `Inveigh.ps1` ou binários com hash correspondente a essas ferramentas - Múltiplas autenticações NTLMv2 de hosts diferentes direcionadas ao mesmo IP suspeito em curto período - Evento Windows 4648 (logon tentado com credenciais explícitas) com IP de destino incomum ## Técnicas Relacionadas - [[T1557001-llmnr-nbt-ns-poisoning|T1557.001 — LLMNR/NBT-NS Poisoning and SMB Relay]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1110-brute-force|T1110 — Brute Force]] - [[T1021002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[T1550002-pass-the-hash|T1550.002 — Pass the Hash]] ## Analytics Relacionadas - [[an1274-analytic-1274|AN1274 — Analytic 1274]] --- *Fonte: [MITRE ATT&CK — DET0462](https://attack.mitre.org/detectionstrategies/DET0462)*