Attacco Man-in-the-Middle nelle Reti Windows: LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001)

Il primo passo per testare la vulnerabilità della rete è lanciare Responder in modalità di ascolto. Lazarus Group ha dimostrato l'efficacia del comando: [Responder file path] -i [IP address] -rPv. Questo setup intercetta richieste LLMNR sulla porta UDP 5355 e NBT-NS sulla porta UDP 137.

Per automatizzare l'attacco in un assessment più ampio, Empire e PoshC2 integrano il modulo Inveigh. La bellezza di questo approccio sta nella sua passività: basta attendere che un utente digiti male un nome host o che un sistema cerchi una risorsa inesistente.

Una volta catturati gli hash NTLMv2, entrano in gioco tool come Impacket. I moduli ntlmrelayx e smbrelayx permettono di rilanciare le credenziali intercettate verso sistemi target, bypassando completamente la necessità di craccare gli hash offline.

Wizard Spider ha elevato questa tecnica utilizzando i cmdlet PowerShell Invoke-Inveigh, dimostrando come anche strumenti nativi possano essere weaponizzati. La sequenza operativa prevede tre fasi: poisoning della richiesta, cattura dell'hash NTLM, relay verso il target desiderato.

Per scenari più complessi, Pupy offre capacità di sniffing del traffico plaintext oltre al poisoning NBNS standard. Questo approccio multilivello aumenta le possibilità di successo quando le credenziali viaggiano in chiaro su protocolli legacy.

La detection di questa tecnica richiede un approccio multilivello che combini analisi del traffico di rete e monitoraggio degli endpoint. Il punto di partenza è l'analytic DET0462, che correla traffico anomalo su UDP 5355 e UDP 137 con tentativi di relay SMB non autorizzati.

I log critici da monitorare includono WinEventLog:Security per le autenticazioni anomale e NSM:Flow per i pattern di traffico sospetti. La chiave sta nell'identificare risposte LLMNR/NBT-NS che provengono da host non autorizzati nella rete.

Il tuning richiede la creazione di una TrustedResponderList che definisca quali sistemi possono legittimamente rispondere a richieste di risoluzione nomi. Ogni deviazione da questa baseline dovrebbe generare un alert ad alta priorità.

La correlazione temporale è fondamentale: il parametro TimeWindow determina quanto tempo il SIEM dovrebbe attendere per collegare un evento di poisoning con un successivo tentativo di relay. Un intervallo di 5-10 secondi cattura la maggior parte degli attacchi automatizzati.

Per ridurre i falsi positivi, implementate una SMBServiceBaseline che mappi i pattern normali di comunicazione SMB nell'ambiente. Modifiche ai registry che riabilitano la risoluzione multicast o creazione di servizi sospetti sono indicatori secondari ma altrettanto importanti.

L'analisi forense di un attacco LLMNR/NBT-NS poisoning inizia dall'esame dei log di rete per identificare il momento esatto dell'intercettazione. Gli artefatti chiave includono le richieste broadcast senza risposta DNS precedente e le risposte anomale da indirizzi IP non autorizzati.

Sui sistemi Windows compromessi, esaminate il registro eventi Security per EventCode 4624 (logon riuscito) e 4625 (logon fallito) che mostrano pattern anomali di autenticazione NTLM. La presenza di logon di tipo 3 (rete) da sorgenti inaspettate indica possibili relay attacks in corso.

La ricostruzione della timeline deve includere l'analisi dei file di configurazione modificati. Verificate se LLMNR o NBT-NS sono stati riabilitati tramite registry o GPO dopo essere stati precedentemente disabilitati, segno di una preparazione dell'ambiente per l'attacco.

Per identificare l'uso di tool specifici, cercate tracce di esecuzione di Responder, Inveigh o moduli Impacket. I prefetch files e le voci di Shimcache possono rivelare quando questi strumenti sono stati eseguiti, mentre i log PowerShell potrebbero contenere tracce dei cmdlet Invoke-Inveigh.

L'analisi del traffico catturato mostra spesso pattern distintivi: burst di richieste LLMNR/NBT-NS seguite da immediate connessioni SMB verso sistemi precedentemente non contattati. Questo comportamento, combinato con l'assenza di risoluzione DNS precedente, costituisce una firma forense affidabile dell'attacco.

Lazarus Group ha integrato questa tecnica nel loro playbook operativo standard, utilizzando Responder con parametri specifici per massimizzare la raccolta di credenziali. La loro metodologia prevede l'uso sistematico del flag -rPv per abilitare sia il poisoning che la modalità verbose, indicando un approccio metodico alla lateral movement.

Wizard Spider, noto per le operazioni ransomware su larga scala, preferisce l'approccio PowerShell con Invoke-Inveigh. Questa scelta riflette la loro strategia di "living off the land", minimizzando l'introduzione di tool esterni che potrebbero essere rilevati.

L'overlap negli strumenti utilizzati è significativo: Responder appare nel toolkit di entrambi i gruppi, suggerendo che questo tool open-source sia diventato uno standard de facto per gli attori malevoli. La presenza di Impacket nelle operazioni indica spesso una fase avanzata dell'attacco, dove il relay diventa cruciale per l'escalation.

I pattern geografici mostrano che questa tecnica è particolarmente popolare in attacchi contro infrastrutture corporate con domini Active Directory estesi. Le campagne documentate evidenziano un uso crescente in combinazione con ransomware, dove la raccolta rapida di credenziali accelera la propagazione del malware.

Il trend emergente vede l'integrazione di questa tecnica con attacchi cloud-hybrid, dove credenziali on-premise vengono utilizzate per compromettere risorse Azure AD federate. Questo evolution richiede un ripensamento delle strategie di difesa che consideri ambienti ibridi.

Framework MITRE ATT&CK T1557.001. Tecniche documentate da Lazarus Group e Wizard Spider. Tool analysis: Responder, Inveigh, Impacket. Detection analytics DET0462 per correlazione eventi Windows Security e flussi di rete.