被现代安全团队遗忘的古老威胁：NetBIOS协议如何成为黑客进入企业网络的隐形后门

在当今大多数人关注高级网络威胁的时代，一些传统的网络协议依然存在于企业环境中，并可能成为安全漏洞的源头。NetBIOS就是这样一个被许多安全团队忽视，但攻击者却很乐意利用的老旧协议。本文将深入浅出地介绍NetBIOS的基本知识、相关安全风险以及防护方法。

NetBIOS是什么？

NetBIOS（网络基本输入输出系统）是一个允许局域网(LAN)中不同计算机上的应用程序相互通信的API。它提供了与OSI模型会话层（第5层）相关的服务，包括名称解析、数据传输和会话管理。

尽管这项技术最早可追溯到1980年代，但它仍然在许多Windows网络环境中存在，特别是在那些有遗留系统的企业网络中。

NetBIOS的工作原理与端口

NetBIOS主要使用以下三个端口：

1. 端口137 (UDP) - NetBIOS名称服务(NBNS)
• 负责在网络内注册和解析NetBIOS名称到IP地址
• 类似于域名解析服务，但仅限于本地网络
2. 端口138 (UDP) - NetBIOS数据报服务(NDS)
• 用于发送广播消息，例如向网络内所有机器发送网络状态通知或警报
• 不建立持久连接，适合短暂的通信
3. 端口139 (TCP) - NetBIOS会话服务(NSS)
• 允许计算机之间进行文件和打印机共享
• 建立持久连接，适合需要可靠通信的应用场景

在现代网络中，NetBIOS通常与SMB（服务器消息块）协议一起使用，SMB是Windows网络中文件共享的基础。

识别暴露的NetBIOS服务

暴露的NetBIOS服务可能成为攻击者的潜在弱点，因为它们提供了有关系统及其资源的信息。这些端口通常配置不当或默认处于开放状态，尤其是在Windows机器上，这使它们对攻击者来说价值很高。

你可以通过运行网络扫描或使用专门的工具来识别开放的NetBIOS服务：

使用Nmap扫描

nmap -p 137,138,139 192.168.1.100

这个命令会检查目标IP地址192.168.1.100上的NetBIOS相关端口是否开放。

使用nbtscan工具

nbtscan 192.168.1.0/24

这个命令会扫描整个192.168.1.0/24网段，寻找具有活跃NetBIOS服务的设备，并返回有关这些设备的信息，如计算机名、工作组和MAC地址。

使用rpcclient识别可用共享

rpcclient -U "" -N 192.168.1.100

通过rpcclient（来自Samba套件）可以收集有关NetBIOS服务的更多信息，并识别潜在的漏洞。空用户名(-U "")和空密码(-N)参数尝试进行匿名连接。

常见NetBIOS攻击手法

了解NetBIOS可能面临的攻击手法，有助于安全团队更好地防护网络环境。以下是几种常见的NetBIOS相关攻击：

1. 名称解析欺骗（NBNS投毒）

攻击者通过发送特制的NetBIOS名称服务请求，可以污染本地NetBIOS名称解析缓存，将客户端引导到恶意机器。

攻击工具示例： Responder

responder -I eth0

Responder工具会监听网络接口(eth0)上的NetBIOS名称请求，并尝试伪装成请求的资源，从而截获认证凭据或执行中间人攻击。

2. NetBIOS枚举

这种技术涉及枚举目标机器上的共享文件、服务和其他资源。通过这种方式，攻击者可以收集网络情报，为进一步的攻击做准备。

攻击工具示例： enum4linux

enum4linux -a 192.168.1.100

这个命令会返回如用户列表、组、共享和更多信息，为攻击者提供丰富的网络情报。

3. SMB中继攻击

基于TCP/IP的NetBIOS(NBT)可能在SMB中继攻击中被滥用，攻击者可以拦截并中继SMB认证到服务器。这通常是通过捕获有效凭据并将其中继到不同机器上的SMB服务来完成的，可能授予未经授权的访问权限。

攻击工具示例： impacket的smbrelayx.py

smbrelayx.py -t 192.168.1.100 -s 192.168.1.200

这个命令设置一个中继攻击，当有SMB认证尝试时，将其中继到目标IP(192.168.1.100)，而攻击者的IP是192.168.1.200。

4. 暴力破解SMB密码

端口139上的SMB共享可能受到弱密码暴力破解的攻击，以获取未经授权的访问权限。像Hydra或Medusa这样的工具可以用来对SMB服务执行密码猜测攻击。

攻击工具示例： Hydra

hydra -l administrator -P /path/to/password_list.txt smb://192.168.1.100

这个命令尝试使用用户名"administrator"和密码列表中的密码来暴力破解目标IP上的SMB服务。

防护建议：保护你的NetBIOS服务

为了保护网络免受NetBIOS相关攻击，以下是一些实用的安全建议：

1. 禁用不必要的NetBIOS服务

如果不需要NetBIOS服务，最好的做法是完全禁用它。在Windows系统中，可以通过网络适配器设置禁用NetBIOS：

1. 打开"网络和共享中心"
2. 点击网络适配器
3. 右键点击正在使用的网络连接，选择"属性"
4. 选择"Internet协议版本4(TCP/IPv4)"，点击"属性"
5. 点击"高级"按钮
6. 在"WINS"标签页中，选择"禁用NetBIOS(TCP/IP)"

2. 实施严格的防火墙规则

限制对NetBIOS端口(137-139)的访问，只允许必要的通信：

# 仅允许内部网络访问NetBIOS端口的iptables规则示例
iptables -A INPUT -p tcp --dport 139 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p udp --dport 137:138 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A INPUT -p udp --dport 137:138 -j DROP

3. 使用强密码和账户控制

确保所有能够访问网络共享的账户都使用强密码，并定期更换。禁用不需要的来宾账户，并实施最小权限原则。

4. 定期更新和安全审计

保持系统更新，特别是与SMB和NetBIOS相关的安全补丁。定期进行安全审计，使用上文提到的扫描工具检查网络中暴露的NetBIOS服务。

5. 迁移到更现代的协议

在可能的情况下，考虑迁移到更现代、更安全的协议：

• 用SMB3代替旧版SMB/NetBIOS
• 使用SSH或SFTP进行安全文件传输
• 实施VPN解决方案来保护敏感网络通信

结语

虽然NetBIOS是一项古老的技术，但由于其在许多企业环境中的持续存在，它仍然是安全专业人员需要关注的重要领域。了解NetBIOS的工作原理、相关风险以及防护措施，可以帮助组织更好地保护其网络资产，防止攻击者利用这些旧协议中的漏洞。