Poisoning dei Nomi di Rete: LLMNR/NBT-NS Poisoning and SMB Relay (T1557.001)

La simulazione di questa tecnica in laboratorio richiede almeno due macchine Windows su uno stesso segmento di rete e una macchina attaccante Linux. L'obiettivo è dimostrare quanto sia banale intercettare credenziali quando LLMNR e NBT-NS sono attivi — la configurazione predefinita nella maggior parte degli ambienti Windows.

Il tool di riferimento è Responder (open source), progettato specificamente per il poisoning dei servizi di risoluzione nomi locali. Sulla macchina attaccante, il comando base per avviare il poisoning su un'interfaccia di rete è:

sudo responder -I eth0 -rdwv

Il flag -r abilita le risposte NBT-NS, -d abilita il risponditore DHCP, -w attiva il proxy WPAD e -v aumenta la verbosità. Quando una vittima tenta di risolvere un nome inesistente — ad esempio digitando un percorso UNC errato come \\srevr01\share — Responder risponde immediatamente e cattura l'hash NTLMv2 nella console. Il dato acquisito dal Lazarus Group mostra una sintassi analoga: un percorso al binario di Responder seguito da -i [IP] -rPv, dove il flag -P forza il proxy di autenticazione.

Per la fase di relay, il passaggio naturale è Impacket (open source), la suite Python che include i moduli ntlmrelayx e smbrelayx. Il relay verso un target con SMB signing disabilitato si esegue così:

sudo ntlmrelayx.py -t smb://192.168.1.50 -smb2support

Questo comando resta in ascolto, riceve l'hash catturato dal poisoning e lo rigioca verso il target specificato. Se la vittima ha privilegi amministrativi sul target, il relay produce una shell o esegue comandi arbitrari. Per ampliare la superficie d'attacco, si possono specificare target multipli con un file:

sudo ntlmrelayx.py -tf targets.txt -smb2support

All'interno di framework C2, Empire (open source) e PoshC2 (open source) integrano il modulo Inveigh, un equivalente PowerShell di Responder che opera direttamente in memoria sulla macchina compromessa. Il cmdlet Invoke-Inveigh — documentato come strumento usato da Wizard Spider — permette il poisoning senza scrivere binari su disco, un vantaggio operativo significativo in ambienti con EDR attivi.

Infine, Pupy (open source) offre moduli integrati per NBNS spoofing e sniffing di credenziali in chiaro, utile per scenari dove coesistono protocolli legacy non cifrati.

Una catena d'attacco completa in laboratorio prevede: Responder per il poisoning iniziale, ntlmrelayx per il relay verso un host con SMB signing disabilitato, e l'uso della shell ottenuta per estrarre ulteriori credenziali dal SAM o dalla memoria LSASS.

La detection di questa tecnica si concentra su due superfici: il traffico di rete anomalo sui protocolli di risoluzione nomi e gli artefatti host che indicano tentativi di relay o creazione di servizi sospetti.

La detection DET0462 inquadra bene l'approccio: monitorare il traffico UDP 5355 (LLMNR) e UDP 137 (NBT-NS) cercando risposte provenienti da host non attesi. Il primo passo operativo è costruire una TrustedResponderList, ovvero una baseline di macchine che legittimamente rispondono a queste richieste nel vostro ambiente. In molte reti, la lista dovrebbe essere vuota — nessun sistema legittimo dovrebbe rispondere a LLMNR se è stato disabilitato via GPO. Qualsiasi risposta diventa quindi un segnale ad alta fedeltà.

Le log source critiche sono due: WinEventLog:Security per le autenticazioni NTLM anomale e i flussi di rete (NSM:Flow) per il traffico sui protocolli interessati. Sul piano SIEM, una regola di correlazione efficace combina tre condizioni entro una finestra temporale configurabile:

1. Risposta LLMNR o NBT-NS da un IP non presente nella TrustedResponderList
2. Connessione SMB successiva dalla vittima verso lo stesso IP rispondente
3. Eventuale creazione di servizio remoto o autenticazione NTLM di tipo 3 (EventCode 4624, logon type 3) su un terzo host originata dall'IP sospetto

Il terzo punto è il marcatore del relay: l'hash intercettato viene rigiocato verso un target diverso, generando un logon di rete apparentemente legittimo ma proveniente da una sorgente inattesa.

Sul piano preventivo, le mitigazioni forniscono controlli concreti. Disabilitare LLMNR tramite GPO (Computer Configuration → Administrative Templates → Network → DNS Client → Turn Off Multicast Name Resolution) e disabilitare NBT-NS nelle proprietà avanzate TCP/IP di ciascuna interfaccia eliminano il vettore alla radice. Abilitare SMB Signing obbligatorio su tutti gli host neutralizza il relay, perché il server target rifiuta connessioni SMB senza firma crittografica valida.

Il filtraggio a livello host — tramite Windows Firewall o software endpoint — dovrebbe bloccare il traffico LLMNR e NetBIOS in uscita dove non necessario. I sistemi IDS/IPS di rete possono identificare pattern di traffico tipici dell'adversary-in-the-middle, come risposte LLMNR troppo rapide o sessioni SMB che seguono immediatamente una risoluzione avvelenata.

Per il tuning, il parametro SMBServiceBaseline consente di escludere pattern SMB legittimi dell'ambiente enterprise, riducendo i falsi positivi generati da scanner di vulnerabilità o tool di inventario che producono autenticazioni NTLM su larga scala.

Quando si sospetta un attacco di poisoning LLMNR/NBT-NS, la ricostruzione parte dall'incrocio tra artefatti di rete e tracce host. La sfida principale è che il poisoning stesso è un'attività di rete che lascia poche tracce su disco — il grosso dell'evidenza emerge dalle conseguenze: accessi anomali, lateral movement, servizi creati.

Il primo artefatto da cercare è il log di autenticazione Windows. Gli eventi EventCode 4624 con logon type 3 (Network) mostrano accessi remoti: se l'IP sorgente corrisponde a un host che non dovrebbe autenticarsi verso il target, il relay è confermato. Correlateli con gli eventi EventCode 4625 (logon falliti) per mappare i tentativi non riusciti — spesso il relay fallisce su host con SMB signing attivo, e questi fallimenti diventano indicatori preziosissimi.

Sul piano delle catture di rete, un PCAP dell'intervallo sospetto rivela la sequenza completa. Le query LLMNR e NBT-NS mostrano la richiesta della vittima, seguita dalla risposta dell'attaccante con un TTL anomalo o un IP inatteso. Il pacchetto NTLMSSP_AUTH nella sessione SMB successiva contiene il dominio, l'username e l'hash NTLMv2 trasmesso — dati che identificano l'account compromesso.

Per individuare Responder o Inveigh sulla macchina attaccante compromessa, cercate artefatti di esecuzione. La prefetch di Windows (C:\Windows\Prefetch) potrebbe contenere entry per binari sospetti. Wizard Spider ha utilizzato Invoke-Inveigh in memoria, il che lascia tracce nei log PowerShell: l'EventCode 4104 (Script Block Logging) registra il contenuto dello script eseguito, inclusi i cmdlet di Inveigh. Verificate che lo Script Block Logging sia abilitato — senza questa configurazione, l'esecuzione in-memory è invisibile ai log standard.

Nella timeline, ricostruite questa sequenza:

• T₀: prima risposta LLMNR/NBT-NS anomala (dal PCAP o dai flussi NetFlow)
• T₁: autenticazione NTLM dalla vittima verso l'IP dell'attaccante (PCAP, evento 4624 sul target relay)
• T₂: logon di rete sul terzo host con credenziali relayed (evento 4624, logon type 3)
• T₃: azioni post-compromise — creazione di servizi remoti (EventCode 7045), accesso a share amministrative, dump di credenziali

Esaminate anche il registro di sistema alla chiave HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient per verificare se il valore EnableMulticast è stato modificato: una re-abilitazione di LLMNR su un host dove era disattivato è un forte indicatore di manomissione.

La sotto-tecnica T1557.001 è utilizzata da due gruppi con profili e obiettivi molto diversi, ma accomunati dalla necessità di muoversi lateralmente in reti Windows dopo aver ottenuto un primo punto d'appoggio.

Lazarus Group (G0032) è il threat actor nordcoreano noto per operazioni che spaziano dallo spionaggio al furto finanziario. L'uso documentato di Responder con la sintassi specifica che include il flag -rPv indica un approccio manuale e mirato: l'operatore lancia il tool su un host già compromesso per raccogliere credenziali nella rete locale e facilitare il movimento laterale. Questo suggerisce che il poisoning viene impiegato nelle fasi intermedie dell'intrusione, dopo l'accesso iniziale e prima del raggiungimento dell'obiettivo finale. La presenza di Responder nel toolkit di Lazarus Group conferma l'adozione di strumenti open source accanto al malware proprietario — un trend consolidato che complica l'attribuzione.

Wizard Spider (G0102) è il gruppo a sfondo finanziario legato alle operazioni TrickBot e Conti. L'impiego di Invoke-Inveigh, la variante PowerShell di Inveigh, riflette la preferenza di questo gruppo per tool che operano in memoria attraverso framework C2 già presenti nell'ambiente compromesso. Wizard Spider conduce operazioni di massa con ransomware come obiettivo finale: il poisoning serve a raccogliere rapidamente credenziali privilegiate per massimizzare la portata della cifratura. La scelta di un modulo PowerShell rispetto a un binario standalone è coerente con un modello operativo che privilegia la velocità e l'evasione degli EDR.

Il pattern comune tra i due gruppi è chiaro: il poisoning LLMNR/NBT-NS non è usato come vettore d'ingresso, ma come acceleratore del lateral movement. Entrambi lo impiegano quando sono già dentro la rete e hanno bisogno di credenziali aggiuntive — tipicamente account con privilegi di domain admin — per raggiungere gli obiettivi strategici.

Sul piano dei tool, l'overlap è significativo. Responder, Impacket, Empire, PoshC2 e Pupy sono tutti open source e liberamente disponibili. La convergenza di gruppi nation-state e gruppi criminali sugli stessi strumenti rende l'attribuzione basata solo sui tool inefficace: occorre correlare con TTP aggiuntive, infrastruttura C2 e targeting geopolitico.

Per il futuro, le organizzazioni che non hanno ancora disabilitato LLMNR e NBT-NS restano vulnerabili a entrambi i profili di minaccia. L'adozione crescente di SMB signing obbligatorio e la progressiva dismissione di NTLM in favore di Kerberos ridurranno la superficie d'attacco, ma la transizione è lenta e molti ambienti legacy rimarranno esposti.

Framework MITRE ATT&CK v16 — T1557.001 (LLMNR/NBT-NS Poisoning and SMB Relay), TA0006, TA0009. Gruppi: G0032, G0102. Software: S0357, S0363, S0378, S0192, S0174. Mitigazioni: M1042, M1031, M1030, M1037. Detection: DET0462 / AN1274. Integrato con conoscenza professionale per tool e procedure operative.