06 Апр, 2023

Базовая сетевая система ввода-вывода (NETBIOS)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

NetBIOS (базовая сетевая система ввода-вывода) это ранний сетевой протокол, первоначально разработанный IBM, а позже принятый Microsoft для использования в операционных системах Windows. NetBIOS предоставляет средства для обмена данными между компьютерами в локальной вычислительной сети (LAN).

Port

Порт TCP 139: Этот порт используется для сеансовой службы NetBIOS и используется для общего доступа к файлам и принтерам. Он также используется протоколом Server Message Block (SMB), который используется для совместного использования файлов и ресурсов по сети.

Порт UDP 137: Этот порт используется для службы имен NetBIOS, которая используется для преобразования имен NetBIOS в IP-адреса. Эта служба часто используется совместно со службой имен в Интернете Windows (WINS) для обеспечения разрешения имен в сети.

Порт UDP 138: Этот порт используется для службы дейтаграмм NetBIOS, которая используется для отправки и получения небольших сообщений между устройствами в сети.

Стандартные команды от неавторизованных

NBTSTAT – эта команда позволяет вам получать информацию о сетевых подключениях, именах NetBIOS и IP-адресах, а также о состоянии подключений к другим компьютерам.

NETSTAT – эта команда позволяет вам получать информацию о текущих подключениях и прослушиваемых портах.

NET VIEW – эта команда позволяет вам просмотреть список доступных компьютеров в сети.

NET USE – эта команда позволяет установить сетевое соединение с другим компьютером, используя имя NetBIOS или IP-адрес.

NBTSTAT -RR – Эта команда используется для обновления таблиц имен NetBIOS и кэша.

Инструменты для использования протокола NetBIOS

Ручные Инструменты:

  • Nbtstat: Инструмент командной строки, который позволяет отображать кэш имен NetBIOS, преобразовывать имя NetBIOS в IP-адреса и другую информацию, связанную с NetBIOS.

  • Netstat: Инструмент командной строки, который позволяет отображать сетевые подключения, таблицы маршрутизации и другую информацию, связанную с сетью.

  • Net View: Инструмент командной строки, который отображает список общих ресурсов в сети.

  • Net Use: Инструмент командной строки, который позволяет вам подключаться к общим сетевым ресурсам.

  • Wireshark: Анализатор сетевых протоколов, который позволяет захватывать и анализировать сетевой трафик, включая пакеты NetBIOS.

Автоматизированные инструменты:

  • Nessus: Сканер уязвимостей, который может сканировать NetBIOS на наличие уязвимостей, неправильных настроек и других проблем безопасности.

  • OpenVAS: Еще один сканер уязвимостей, который может сканировать уязвимости и неправильные настройки, связанные с NetBIOS.

  • Nmap: Сканер портов, который может сканировать открытые порты и службы, связанные с NetBIOS.

  • Metasploit: Платформа тестирования на проникновение, которая может быть использована для использования уязвимостей и слабых мест NetBIOS.

  • Responder: Инструмент, который может быть использован для отравления кэша имен NetBIOS и кражи учетных данных для аутентификации.

Плагины для браузера:

  • NetBIOS Enumerator: Плагин для браузера, который можно использовать для перечисления информации NetBIOS, включая имена хостов и IP-адреса.

  • NetBIOS Auditing Tool: Еще один плагин для браузера, который можно использовать для аудита информации NetBIOS, включая общие ресурсы, службы и пользователей.

Последние пять известных CVE для NetBIOS

CVE-2020-16897 – Уязвимость раскрытия информации существует, когда расширения NetBIOS через TCP (NBT) (NetBT) неправильно обрабатывают объекты в памяти, она же ‘уязвимость раскрытия информации NetBT’.

CVE-2020-13159 – Artica Proxy до версии 4.30.000000 Community Edition позволяет вводить команды ОС через поле Netbios name, Server domain name, dhclient_mac, Hostname или Alias. ПРИМЕЧАНИЕ: это может перекрывать CVE-2020-10818.

CVE-2020-10745 – Во всех версиях Samba до 4.10.17, до 4.11.11 и до 4.12.4 был обнаружен недостаток в способе обработки NetBIOS через TCP / IP. Этот недостаток позволяет удаленному злоумышленнику вызвать чрезмерную загрузку процессора сервером Samba, что приводит к отказу в обслуживании. Наибольшая угроза, исходящая от этой уязвимости, связана с доступностью системы.

CVE-2018-7445 – В SMB-службе MikroTik RouterOS обнаружено переполнение буфера при обработке сообщений с запросом сеанса NetBIOS. Удаленные злоумышленники, имеющие доступ к сервису, могут воспользоваться этой уязвимостью и добиться выполнения кода в системе. Переполнение происходит до того, как выполняется аутентификация, поэтому удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться им. Уязвимы все архитектуры и все устройства, работающие под управлением RouterOS до версий 6.41.3/6.42rc27.

CVE-2017-17083 – В Wireshark с 2.4.0 по 2.4.2 и с 2.2.0 по 2.2.10 может произойти сбой NetBIOS-диссектора. Это было устранено в epan/dissectors /packet-netbios.c, гарантируя, что операции записи ограничены началом буфера.

Полезная информация

NetBIOS расшифровывается как “Сетевая базовая система ввода-вывода”. Это протокол, который был первоначально разработан IBM в 1980-х годах, чтобы позволить разным компьютерам в сети взаимодействовать друг с другом. NetBIOS предоставляет приложениям, работающим на разных компьютерах, возможность находить друг друга и подключаться друг к другу, используя общее соглашение об именовании.

NetBIOS обычно используется в сетях на базе Windows, хотя считается более старым протоколом, который в значительной степени был заменен более новыми протоколами, такими как TCP / IP.

NetBIOS использует UDP-порты 137 и 138, а также TCP-порт 139 для связи. Эти порты могут использоваться как для входящего, так и для исходящего трафика.

NetBIOS через TCP / IP (NBT) - это вариант NetBIOS, который позволяет передавать пакеты NetBIOS по сетям TCP / IP. Это позволяет приложениям NetBIOS взаимодействовать через Интернет и другие сети TCP / IP.

NetBIOS уязвим к ряду проблем безопасности, включая атаки на переполнение буфера, атаки типа "отказ в обслуживании" и атаки типа "человек посередине". В результате важно поддерживать реализацию NetBIOS в актуальном состоянии и своевременно применять любые соответствующие исправления безопасности.

Некоторые распространенные инструменты для работы с NetBIOS включают nbtstat, инструмент командной строки, позволяющий устранять неполадки с разрешением имен NetBIOS, и Wireshark, анализатор сетевых протоколов, который можно использовать для сбора и анализа трафика NetBIOS.

В целом, хотя NetBIOS является более старым протоколом, который сегодня используется реже, его все еще можно найти во многих устаревших системах и средах. В результате важно иметь базовое представление о NetBIOS и связанных с ним рисках и уязвимостях.

Известные баннеры

У NetBIOS нет специальных баннеров, но базовый протокол, который использует NetBIOS, SMB (Server Message Block), имеет баннеры, которые могут предоставлять информацию о сервере или системе, к которой осуществляется доступ.

Вот несколько примеров баннеров SMB:

  • Windows 10: “Windows 10 Pro <version>”

  • Windows Server 2019: “Windows Server 2019 Standard <version>”

  • Samba: “Samba <version>”

  • Устройства NAS: “Netgear ReadyNAS” или “Synology DiskStation”

Эти баннеры могут предоставить полезную информацию злоумышленникам, пытающимся идентифицировать уязвимые системы или цели для дальнейших атак. Однако стоит отметить, что некоторые системы могут быть настроены на скрытие своих баннеров, чтобы злоумышленникам было сложнее их идентифицировать

Книги для изучения NetBIOS

NetBIOS и NetBEUI: Руководство разработчика Алан Р. Миллер – Эта книга представляет собой исчерпывающее руководство по NetBIOS и NetBEUI, включая их историю, дизайн и практическое использование. Он также включает примеры кода и советы по устранению неполадок для разработчиков, работающих с этими протоколами.

Освоение NetBIOS Питер Дайсон – В этой книге дается подробный обзор NetBIOS и его использования, включая присвоение сетевых имен, аутентификацию и совместное использование ресурсов. В нем также рассматриваются вопросы устранения неполадок и обеспечения безопасности сетей с поддержкой NetBIOS.

Microsoft Windows NetBIOS: Руководство по внедрению и интеграции автор: Раджив Нагар – Эта книга представляет собой всеобъемлющее руководство по внедрению и интеграции NetBIOS в средах Microsoft Windows. В нем рассматриваются именование NetBIOS, совместное использование ресурсов, устранение неполадок и соображения безопасности, характерные для Windows.

Объяснены протоколы NetBIOS, SMB, CIFS и RPC автор: Томас Шульц – В этой книге представлен обзор протоколов NetBIOS, SMB, CIFS и RPC, включая их дизайн, функциональность и соображения безопасности. Он также включает практические примеры и советы по устранению неполадок.

Понимание NetBIOS Дэвид Соломон – В этой книге представлен подробный обзор NetBIOS и его использования, включая присвоение сетевых имен, общий доступ к файлам и принтерам. В нем также рассматриваются вопросы безопасности и советы по устранению неполадок в сетях с поддержкой NetBIOS.

Список полезной нагрузки для NetBIOS

  • Подмена службы имен NetBIOS (NBNS): Эта полезная нагрузка может быть использована для подделки службы NBNS для перехвата трафика и потенциального запуска атаки "человек посередине".

  • Перехват сеанса NetBIOS: Эта полезная нагрузка может быть использована для взлома установленного сеанса NetBIOS и получения доступа к сетевым ресурсам.

  • Перечисление NetBIOS: Эта полезная нагрузка может использоваться для сканирования систем и служб с поддержкой NetBIOS, а также для сбора информации об именах систем, общих ресурсах и других сетевых ресурсах.

  • Отказ в обслуживании на основе NetBIOS (DoS): Эта полезная нагрузка может быть использована для запуска DoS-атаки на системы с поддержкой NetBIOS путем переполнения их трафиком или иным образом перегружения их ресурсов.

  • Взлом пароля NetBIOS: Эту полезную нагрузку можно использовать для проверки надежности паролей NetBIOS, пытаясь взломать их с помощью методов грубой силы.

Смягчение последствий

  1. Отключить NetBIOS через TCP/IP (NBT): Если NetBIOS не необходим для работы вашей сети, рекомендуется отключить NBT, который используется NetBIOS для связи по протоколу TCP / IP. Это может помочь предотвратить определенные типы атак, такие как подмена NBNS и перечисление NetBIOS.

  2. Внедрять брандмауэры: Внедрение брандмауэров может помочь блокировать несанкционированный доступ к ресурсам с поддержкой NetBIOS, ограничивая трафик, который может проходить через них, только теми, которые явно разрешены.

  3. Ограничить доступ к ресурсам с поддержкой NetBIOS: Ограничьте доступ к ресурсам с поддержкой NetBIOS только тем пользователям, которым это необходимо, и убедитесь, что разрешения правильно настроены для предотвращения несанкционированного доступа.

  4. Внедряйте надежные пароли и протоколы аутентификации: Используйте надежные пароли и протоколы аутентификации для защиты ресурсов с поддержкой NetBIOS от несанкционированного доступа. Рассмотрите возможность использования многофакторной аутентификации для дополнительного уровня безопасности.

  5. Регулярно обновляйте и исправляйте системы: Обновляйте системы с поддержкой NetBIOS с помощью последних обновлений безопасности и исправлений, чтобы предотвратить использование известных уязвимостей.

  6. Мониторинг сетевого трафика: Регулярно контролируйте сетевой трафик, чтобы обнаружить любую подозрительную или необычную активность, и оперативно расследуйте любые аномалии.

Заключение

NetBIOS это более старый сетевой протокол, который широко использовался в прошлом, но в значительной степени был заменен более новыми, более безопасными протоколами. Хотя он все еще используется в некоторых устаревших системах, как правило, не рекомендуется использовать NetBIOS в современных сетях из-за его потенциальных рисков для безопасности и уязвимостей.

Другие Услуги

Готовы к безопасности?

Связаться с нами