06 Кві, 2023

Базова мережева система вводу-виводу (NETBIOS)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

NetBIOS (базова мережева система введення-виведення) це ранній мережевий протокол, спочатку розроблений IBM, а пізніше прийнятий Microsoft для використання в операційних системах Windows. NetBIOS надає засоби для обміну даними між комп'ютерами в локальної обчислювальної мережі (LAN).

Port

Порт TCP 139: Цей порт використовується для сеансовой служби NetBIOS і використовується для загального доступу до файлів і принтерів. Він також використовується протоколом Server Message Block (SMB), який використовується для спільного використання файлів і ресурсів мережі.

Порт UDP 137: Цей порт використовується для служби імен NetBIOS, яка використовується для перетворення імен NetBIOS в IP-адреси. Ця служба часто використовується спільно зі службою імен в Інтернеті Windows (WINS) для забезпечення імен у мережі.

Порт UDP 138: Цей порт використовується для служби дейтаграм NetBIOS, яка використовується для відправки і отримання невеликих повідомлень між пристроями в мережі.

Стандартні команди від неавторизованих

NBTSTAT – ця команда дозволяє вам отримувати інформацію про мережевих підключеннях, імена NetBIOS і IP-адреси, а також про стан підключення до інших комп'ютерів.

NETSTAT – ця команда дозволяє вам отримувати інформацію про поточні з'єднання і прослуховує портах.

NET VIEW – ця команда дозволяє вам переглянути список доступних комп'ютерів в мережі.

NET USE – ця команда дозволяє встановити з'єднання з іншим комп'ютером, використовуючи ім'я NetBIOS або IP-адресу.

NBTSTAT -RR – Ця команда використовується для оновлення таблиць імен NetBIOS і кеша.

Інструменти для використання протоколу NetBIOS

Ручні Інструменти:

  • Nbtstat: Інструмент командного рядка, який дозволяє відображати кеш імен NetBIOS, перетворювати ім'я NetBIOS в IP-адреси та іншу інформацію, пов'язану з NetBIOS.

  • Netstat: Інструмент командного рядка, який дозволяє відображати мережеві підключення, таблиці маршрутизації та іншу інформацію, пов'язану з мережею.

  • Net View: Інструмент командного рядка, який відображає список спільних ресурсів в мережі.

  • Net Use: Інструмент командного рядка, який дозволяє підключатися до загальних мережевих ресурсів.

  • Wireshark: Аналізатор мережевих протоколів, який дозволяє захоплювати і аналізувати мережевий трафік, включаючи пакети NetBIOS.

Автоматизовані інструменти:

  • Nessus: Сканер вразливостей, який може сканувати NetBIOS на наявність вразливостей, неправильних налаштувань і інших проблем безпеки.

  • OpenVAS: Ще один сканер вразливостей, який може сканувати вразливості і неправильні налаштування, пов'язані з NetBIOS.

  • Nmap: Сканер портів, який може сканувати відкриті порти і служби, пов'язані з NetBIOS.

  • Metasploit: Платформа тестування на проникнення, яка може бути використана для використання вразливостей і слабких місць NetBIOS.

  • Responder: Інструмент, який може бути використаний для отруєння кеша імен NetBIOS і крадіжки облікових даних для аутентифікації.

Плагіни для браузера:

  • NetBIOS Enumerator: Плагін для браузера, який можна використовувати для перерахування інформації NetBIOS, включаючи імена хостів і IP-адреси.

  • NetBIOS Auditing Tool: Ще один плагін для браузера, який можна використовувати для аудиту інформації NetBIOS, включаючи загальні ресурси, служби і користувачів.

Останні п'ять відомих CVE для NetBIOS

CVE-2020-16897 – Вразливість розкриття інформації існує, коли розширення NetBIOS через TCP (NBT) (NetBT) неправильно обробляють об'єкти в пам'яті, вона ж 'вразливість розкриття інформації NetBT'.

CVE-2020-13159 – Artica Proxy до версії 4.30.000000 Community Edition дозволяє вводити команди ОС через поле Netbios name, domain name Server, dhclient_mac, Hostname або Alias. ПРИМІТКА: це може перекривати CVE-2020-10818.

CVE-2020-10745 – У всіх версіях Samba до 4.10.17, до 4.11.11 і до 4.12.4 був виявлений недолік в способі обробки NetBIOS через TCP / IP. Цей недолік дозволяє віддаленому зловмисникові викликати надмірну завантаження процесора сервера Samba, що призводить до відмови в обслуговуванні. Найбільша загроза, що виходить від цієї уразливості, пов'язана з доступністю системи.

CVE-2018-7445 – В SMB-службі MikroTik RouterOS виявлено переповнення буфера при обробці повідомлень із запитом сеансу NetBIOS. Віддалені зловмисники, які мають доступ до сервісу, можуть скористатися цією уразливістю і домогтися виконання коду в системі. Переповнення відбувається до того, як виконується аутентифікація, тому віддалений зловмисник, який не пройшов перевірку автентичності, може скористатися ним. Уразливі всі архітектури і всі пристрої, що працюють під управлінням RouterOS до версій 6.41.3/6.42rc27.

CVE-2017-17083 – У Wireshark з 2.4.0 за 2.4.2 і з 2.2.0 за 2.2.10 може відбутися збій NetBIOS-дисектору. Це було усунуто epan/dissectors /packet-netbios.c, гарантуючи, що операції запису обмежені початком буфера.

Корисна інформація

NetBIOS розшифровується як "Мережна базова система вводу-виводу". Це протокол, який був спочатку розроблений IBM в 1980-х роках, щоб дозволити різним комп'ютерам в мережі взаємодіяти один з одним. NetBIOS надає додаткам, які працюють на різних комп'ютерах, можливість знаходити один одного і підключатися один до одного, використовуючи загальну угоду про іменуванні.

NetBIOS зазвичай використовується в мережах на базі Windows, хоча вважається більш старим протоколом, який значною мірою був замінений більш новими протоколами, такими як TCP / IP.

NetBIOS використовує UDP-порти 137 і 138, а також TCP-порт 139 для зв'язку. Ці порти можуть використовуватися як для вхідного, так і вихідного трафіку.

NetBIOS через TCP / IP (NBT) - це варіант NetBIOS, який дозволяє передавати пакети NetBIOS по мережах TCP / IP. Це дозволяє програмам NetBIOS взаємодіяти через Інтернет і інші мережі TCP / IP.

NetBIOS вразливий до ряду проблем безпеки, включаючи атаки на переповнення буферу, атаки типу "відмова в обслуговуванні" і атаки типу "людина посередині". В результаті важливо підтримувати реалізацію NetBIOS в актуальному стані та своєчасно застосовувати будь-які відповідні виправлення безпеки.

Деякі поширені інструменти для роботи з NetBIOS включають nbtstat, інструмент командного рядка, що дозволяє усувати неполадки з роздільною здатністю імен NetBIOS, і Wireshark, аналізатор мережевих протоколів, який можна використовувати для збору і аналізу трафіку NetBIOS.

В цілому, хоча NetBIOS є більш старим протоколом, який сьогодні використовується рідше, його все ще можна знайти в багатьох застарілих системах і середовищах. В результаті важливо мати базове уявлення про NetBIOS і пов'язаних з ним ризики та вразливості.

Відомі банери

У NetBIOS немає спеціальних банерів, але базовий протокол, який використовує NetBIOS, SMB (Server Message Block), має банери, які можуть надавати інформацію про сервер або системі, до якої здійснюється доступ.

Ось кілька прикладів банерів SMB:

  • Windows 10: “Windows 10 Pro <version>”

  • Windows Server 2019: “Windows Server 2019 Standard <version>”

  • Samba: “Samba <version>”

  • Пристрої NAS: "Netgear ReadyNAS" або "Synology DiskStation"

Ці банери можуть надати корисну інформацію зловмисникам, які намагаються ідентифікувати вразливі системи або цілі для подальших атак. Проте варто відзначити, що деякі системи можуть бути налаштовані на приховування своїх банерів, щоб зловмисникам було складніше їх ідентифікувати

Книги для вивчення NetBIOS

NetBIOS і NetBEUI: Керівництво розробника Алан Р. Міллер – Ця книга являє собою вичерпне керівництво по NetBIOS і NetBEUI, включаючи їх історію, дизайн та практичне використання. Він також включає приклади коду і поради з усунення неполадок для розробників, що працюють з цими протоколами.

Освоєння NetBIOS Пітер Дайсон – У цій книзі дається детальний огляд NetBIOS і його використання, включаючи присвоєння мережевих імен, аутентифікацію і спільне використання ресурсів. У ньому також розглядаються питання усунення неполадок і забезпечення безпеки мереж з підтримкою NetBIOS.

Microsoft Windows NetBIOS: Керівництво по впровадженню та інтеграції автор: Раджив Нагар – Ця книга являє собою всеосяжне керівництво по впровадженню та інтеграції NetBIOS у середовищі Microsoft Windows. У ньому розглядаються іменування NetBIOS, спільне використання ресурсів, усунення неполадок і міркування безпеки, характерні для Windows.

Пояснені протоколи NetBIOS, SMB, CIFS і RPC автор: Томас Шульц – У цій книзі представлений огляд протоколів NetBIOS, SMB, CIFS і RPC, включаючи їх дизайн, функціональність і міркування безпеки. Він також включає практичні приклади та поради з усунення неполадок.

Розуміння NetBIOS Девід Соломон – У цій книзі представлений детальний огляд NetBIOS і його використання, включаючи присвоєння мережевих імен, загальний доступ до файлів і принтерів. У ньому також розглядаються питання безпеки та поради з усунення неполадок у мережах з підтримкою NetBIOS.

Список корисного навантаження для NetBIOS

  • Підміна служби імен NetBIOS (NBNS): Ця корисна навантаження може бути використана для підробки служби NBNS для перехоплення трафіку і потенційного запуску атаки "людина посередині".

  • Перехоплення сеансу NetBIOS: Ця корисна навантаження може бути використана для злому встановленого сеансу NetBIOS і отримання доступу до мережевих ресурсів.

  • Перерахування NetBIOS: Ця корисна навантаження може використовуватися для сканування систем і служб з підтримкою NetBIOS, а також для збору інформації про імена систем, загальних ресурсах і інших мережевих ресурсах.

  • Відмова в обслуговуванні на основі NetBIOS (DoS): Ця корисна навантаження може бути використана для запуску DoS-атаки на системи з підтримкою NetBIOS шляхом переповнення їх трафіком або іншим чином перегружения їх ресурсів.

  • Злом пароля NetBIOS: Цю корисну навантаження можна використовувати для перевірки надійності паролів NetBIOS, намагаючись зламати їх за допомогою методів грубої сили.

Пом'якшення наслідків

  1. Відключити NetBIOS через TCP/IP (NBT): Якщо NetBIOS не потрібна для роботи вашої мережі, рекомендується відключити NBT, який використовується NetBIOS для зв'язку по протоколу TCP / IP. Це може допомогти запобігти певні типи атак, такі як підміна NBNS і перерахування NetBIOS.

  2. Впроваджувати брандмауери: Впровадження брандмауерів може допомогти блокувати несанкціонований доступ до ресурсів з підтримкою NetBIOS, обмежуючи трафік, який може проходити через них, тільки тими, які явно дозволені.

  3. Обмежити доступ до ресурсів з підтримкою NetBIOS: Обмежте доступ до ресурсів з підтримкою NetBIOS тільки тим користувачам, яким це необхідно, і переконайтеся, що дозволу правильно налаштовані для запобігання несанкціонованого доступу.

  4. Впроваджуйте надійні паролі і протоколи аутентифікації: Використовуйте надійні паролі і протоколи аутентифікації для захисту ресурсів з підтримкою NetBIOS від несанкціонованого доступу. Розгляньте можливість використання багатофакторної аутентифікації для додаткового рівня безпеки.

  5. Регулярно оновлюйте і виправляйте системи: Оновлюйте системи з підтримкою NetBIOS з допомогою останніх оновлень безпеки і виправлень, щоб запобігти використання відомих вразливостей.

  6. Моніторинг мережевого трафіку: Регулярно контролюйте мережевий трафік, щоб виявити будь-яку підозрілу або незвичайну активність, і оперативно розслідуйте будь-які аномалії.

Висновок

NetBIOS це старий мережевий протокол, який широко використовувався в минулому, але в значній мірі був замінений більш новими, більш безпечними протоколами. Хоча він все ще використовується в деяких застарілих системах, як правило, не рекомендується використовувати NetBIOS у сучасних мережах з-за його потенційних ризиків для безпеки і вразливостей.

Інші Послуги

Готові до безпеки?

зв'язатися з нами