检测
分析
Adversary-in-the-Middle: LLMNR / NBT-NS中毒和SMB继电器
描述
对手可能试图定位两个或多个网络设备之间使用一个对手——————中间(AiTM)技术支持跟踪——在网络嗅探或传输数据操作等行为。滥用特征的常见的网络协议,可以确定网络流量(如流。ARP、DNS、LLMNR等),对手可能会迫使设备通信通过一个对手的控制系统,这样他们就可以收集信息或执行额外的操作。
产品、传感器和依赖关系
| 产品 | 依赖关系 | 数据源 | 访问所需的 | 协议 | 收集的数据 | 笔记 |
|---|---|---|---|---|---|---|
| Tenable.io | 先进的网络扫描 | Windows机器 | Authenicated扫描 | SMB | 交互式登录 | 插件ID: 161502 |
| Tenable.io | 先进的网络扫描 | Windows机器 | Authenicated扫描 | SMB | LLMNR状态 | 插件ID: 160301 |
| Tenable.ad | 密码同步 | 活动目录 | 广告用户的特权 | RPC(135 +高港口) | 用户密码 |
引用
攻击路径技术细节
框架:主教法冠ATT&CK
Sub-Technique:LLMNR / NBT-NS中毒和SMB继电器
平台:窗户
站得住脚的发布日期:2022年第二季度