«Старые сетевые протоколы, от которых мы не можем избавиться, создают скрытые коридоры в наших современных защищённых сетях. Они не просто устарели — они превратились в каналы для атак, потому что принцип их работы противоречит базовым постулатам безопасности, таким как проверка подлинности источника. Понимание этих механизмов — это не археология, а актуальная необходимость для построения реальной защиты, особенно в свете требований регуляторов».
Разрешение имен Windows и атаки на SMB
Введение
Когда приложение или система пытается подключиться к сетевому ресурсу по имени, происходит процесс разрешения имен. Цель — преобразовать удобочитаемое имя, вроде SRV-FIN, в числовой IP-адрес. В экосистеме Windows для этого исторически используются несколько протоколов, создающих избыточность, которую можно использовать против самой системы.
Основные механизмы разрешения имен в Windows, помимо DNS, это:
- NetBIOS over TCP/IP (NBT) — наследие эпохи рабочих групп.
- LLMNR (Link-Local Multicast Name Resolution) — его наследник, работающий на базе многоадресной рассылки.
Именно эта избыточность и доверчивая природа протоколов становятся вектором для классических и всё ещё эффективных атак, часто ведущих к компрометации учетных данных и использованию уязвимостей в протоколе SMB.
Архитектура разрешения имен: NetBIOS и LLMNR
NetBIOS: живое наследие
NetBIOS — это не протокол, а программный интерфейс (API), разработанный для локальных сетей. Для работы поверх современных стеков TCP/IP используется реализация NetBIOS over TCP/IP (NBT). Его ключевой компонент — служба имен (NetBIOS Name Service, NBNS), работающая на порту UDP 137.
Когда Windows-хосту нужно найти компьютер с именем «SRV-FIN», он сначала проверяет локальный кэш, затем может отправить широковещательный запрос (UDP 137) в сеть: «Кто такой SRV-FIN?». Любой хост, зарегистрировавший это имя, должен ответить своим IP-адресом.
Службы NetBIOS:
| Служба | Порт | Назначение |
|---|---|---|
| NetBIOS Name Service (NBNS) | UDP 137 | Регистрация и разрешение NetBIOS-имен. |
| NetBIOS Datagram Service | UDP 138 | Передача датаграмм (например, для службы обозревателя сетей). |
| NetBIOS Session Service | TCP 139 | Установление сессий для протоколов верхнего уровня (например, SMB поверх NetBIOS). |
LLMNR: многоадресное разрешение в сегменте
LLMNR, представленный в Windows Vista, призван заменить NetBIOS в одноранговых сценариях. Он использует формат пакетов, похожий на DNS, и работает через многоадресную рассылку на адрес 224.0.0.252 (IPv4) или FF02::1:3 (IPv6) на порту UDP 5355.
Механизм похож: если DNS-сервер не ответил или не знает имени, хост отправляет LLMNR-запрос в локальный сегмент сети. Главное отличие от широковещательного NetBIOS — многоадресная рассылка, но в пределах одного канального уровня (link-local) разница для защиты несущественна.
.
Уязвимости механизмов разрешения имен
Проблема коренится в доверчивой модели. Протоколы NBNS и LLMNR не предусматривают механизмов аутентификации источника ответа. Они изначально проектировались для доверенной локальной среды. В современной сети это равносильно крику в тёмной комнате: первый, кто откликнется, считается тем, кого ищут.
Атака «отравления» LLMNR/NBNS
Атакующий, находящийся в том же сетевом сегменте, постоянно «подслушивает» LLMNR (UDP 5355) и NBNS (UDP 137) запросы.
- Пользователь ошибается при вводе имени сетевой папки (например,
srv-financeвместоsrv-fin). - DNS не находит такое имя. Система отправляет LLMNR-запрос.
- Атакующий перехватывает запрос и первым отправляет поддельный ответ, указывая в качестве адреса «srv-finance» свой IP.
- Система-жертва получает ответ и пытается подключиться к атакующему по SMB или другому протоколу, требующему аутентификации Windows.
- В ответ на запрос аутентификации система жертвы автоматически вычисляет и отправляет хэш NTLMv2 (или NTLMv1, если не настроено иное) атакующему, пытаясь авторизоваться.
- Атакующий перехватывает этот хэш для последующего офлайн-взлома или ретрансляции (NTLM Relay).
Это классическая атака на понижение (downgrade) качества аутентификации, использующая избыточность протоколов.
Контекст рабочих групп и доменов
Риск усугубляется в средах рабочих групп (Workgroup), где часто используются простые пароли или пароли отсутствуют вовсе. Однако в доменах Active Directory атака также эффективна, так как перехваченные хэши доменных учётных записей часто имеют более высокие привилегии.
| Фактор | Рабочая группа | Домен Active Directory |
|---|---|---|
| Центр атаки | Локальные учётные записи на каждом хосте | Ценные доменные учётные записи |
| Сложность подбора | Часто слабые/отсутствующие пароли | Пароли могут быть сильнее, но хэш можно ретранслировать |
| Масштаб последствий | Локальная компрометация | Возможность перемещения по домену |
SMB: протокол-магнит для эксплойтов
Протокол Server Message Block (SMB) — основная цель после успешного «отравления». По умолчанию в Windows он использует порт TCP 445 (прямой SMB поверх TCP, в обход NetBIOS). Его история переполнена критическими уязвимостями.
Эволюция уязвимостей SMB
SMBv1, в частности, содержит архитектурные недостатки, приводившие к удалённому выполнению кода. Самый известный пример — уязвимость MS17-010, эксплуатируемая эксплойтом EternalBlue. Её использовали черви WannaCry и NotPetya, причинившие ущерб по всему миру.
Принцип эксплуатации EternalBlue связан с обработкой специально сформированных транзакционных запросов в SMBv1, что приводит к переполнению буфера и позволяет выполнить произвольный код в ядре системы.
Несмотря на наличие заплаток и отключение SMBv1 по умолчанию в новых системах, наследие в виде устаревших систем и обратная совместимость оставляют риски. Проверка наличия подобных уязвимостей — обязательный этап аудита.
Практические меры защиты
Защита строится на принципе минимально необходимой функциональности.
1. Отключение неиспользуемых протоколов
- Отключить LLMNR: Политика групповой политики или реестр. Параметр
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTDNSClientEnableMulticast = 0 (DWORD). - Отключить NetBIOS over TCP/IP: В свойствах сетевого адаптера, на вкладке TCP/IPv4 -> Дополнительно -> WINS -> выбрать «Отключить NetBIOS через TCP/IP».
2. Укрепление SMB
- Отключить SMBv1: Обязательная мера. Выполняется через компоненты Windows или групповые политики.
- Включить подписание SMB (SMB Signing): Хотя это и не предотвращает перехват хэша, оно блокирует его ретрансляцию (NTLM Relay), так как делает невозможным подмену пакетов. В домене рекомендуется принудительно включать для серверов.
- Использовать сегментацию сети: Ограничить широковещательные домены. Атаки LLMNR/NBNS не выходят за пределы VLAN.
3. Мониторинг и обнаружение
- Настройка SIEM на алерты по множественным событиям аутентификации NTLM, исходящим с одного хоста к другому в короткий промежуток времени — возможный признак ретрансляции.
- Мониторинг сетевого трафика на предмет LLMNR- или NBNS-ответов с IP-адресов, не являющихся серверами инфраструктуры.
- Регулярная проверка параметров реестра, связанных с LLMNR, на предмет несанкционированных изменений.
.
Заключение
Механизмы NetBIOS и LLMNR — не просто реликты, а активные компоненты, создающие поверхностность для атак в инфраструктуре Windows. Их уязвимость — не в баге, а в фундаментальном отсутствии проверки подлинности, что противоречит современным сетевым моделям безопасности.
Успешная эксплуатация через «отравление» приводит к утечке хэшей аутентификации, что является стартовой точкой для более глубокого вторжения, особенно в связке с исторически проблемным протоколом SMB.
Для соответствия требованиям по защите информации, таким как 152-ФЗ и положения ФСТЭК, отключение этих протоколов там, где они не требуются бизнес-процессами, является не рекомендуемой, а обязательной базовой гигиеной безопасности. Понимание этих векторов позволяет строить защиту не на основе списков известных сигнатур, а на принципах архитектурной безопасности, минимизируя поверхность атаки на уровне сетевых служб.