Windows-PC-ene som er koblet til ditt lokale nettverk kan være sårbare. Bør du sikre LLMNR-bruken din eller klare deg helt uten funksjonen?
Windows Active Directory er en tjeneste laget av Microsoft som fortsatt brukes i dag i en rekke organisasjoner rundt om i verden. Den kobler sammen og lagrer informasjon om flere enheter og tjenester på samme nettverk. Men hvis et selskaps Active Directory ikke er riktig og sikkert konfigurert, kan det føre til en rekke sårbarheter og angrep.
Et av de mer populære Active Directory-angrepene er LLMNR-forgiftningsangrepet. Hvis det lykkes, kan et LLMNR-forgiftningsangrep gi en hacker-administrator tilgang og privilegier til Active Directory-tjenesten.
Les videre for å finne ut hvordan LLMNR-forgiftningsangrepet fungerer og hvordan du kan forhindre at det skjer med deg.
Hva er LLMNR?
LLMNR står for Link-Local Multicast Name Resolution. Det er en navneløsningstjeneste eller protokoll som brukes på Windows for å løse IP-adressen til en vert på det samme lokale nettverket når DNS-serveren ikke er tilgjengelig.
LLMNR fungerer ved å sende en spørring til alle enheter på tvers av et nettverk som ber om et spesifikt vertsnavn. Den gjør dette ved å bruke en Name Resolution Request (NRR)-pakke som den kringkaster til alle enheter på det nettverket. Hvis det er en enhet med det vertsnavnet, vil den svare med en Name Resolution Response (NRP)-pakke som inneholder IP-adressen og etablere en forbindelse med den forespørende enheten.
Dessverre er LLMNR langt fra å være en sikker modus for vertsnavnoppløsning. Dens største svakhet er at den bruker brukernavnet sammen med det tilsvarende passordet når du kommuniserer.
Hva er LLMNR-forgiftning?
LLMNR-forgiftning er en type mann-i-midten-angrep som utnytter LLMNR-protokollen (Link-Local Multicast Name Resolution) i Windows-systemer. I LLMNR Poisoning lytter en angriper og venter på å avskjære en forespørsel fra målet. Hvis det lykkes, kan denne personen sende et ondsinnet LLMNR-svar til en måldatamaskin og lure den inn sende sensitiv informasjon (brukernavn og passord hash) til dem i stedet for det tiltenkte nettverket ressurs. Dette angrepet kan brukes til å stjele legitimasjon, utføre nettverksrekognosering eller starte ytterligere angrep på målsystemet eller nettverket.
Hvordan virker LLMNR-forgiftning?
I de fleste tilfeller oppnås LLMNR ved å bruke et verktøy som heter Responder. Det er et populært åpen kildekode-skript som vanligvis er skrevet i python og brukes til LLMNR, NBT-NS og MDNS-forgiftning. Den setter opp flere servere som SMB, LDAP, Auth, WDAP, etc. Når det kjøres på et nettverk, lytter Responder-skriptet til LLMNR-spørringer laget av andre enheter på det nettverket og utfører mann-i-midten-angrep på dem. Verktøyet kan brukes til å fange opp autentiseringslegitimasjon, få tilgang til systemer og utføre andre ondsinnede aktiviteter.
Når en angriper kjører svarskriptet, lytter skriptet stille etter hendelser og LLMNR-spørringer. Når en oppstår, sender den forgiftede svar til dem. Hvis disse falske angrepene lykkes, viser svarpersonen målets brukernavn og passord-hash.
Angriperen kan deretter prøve å knekke passordhashen ved å bruke forskjellige verktøy for å knekke passord. Passord-hashen er vanligvis en NTLMv1-hash. Hvis målets passord er svakt, vil det bli brutalt tvunget og knekket på kort eller ingen tid. Og når dette skjer, vil angriperen kunne logge på brukerens konto, etterligne offer, installere skadelig programvare eller utføre andre aktiviteter som nettverksrekognosering og data eksfiltrering.
Pass Hash-angrepene
Det skremmende med dette angrepet er at noen ganger trenger ikke passordhashen knekkes. Selve hashen kan brukes i et pass hash-angrepet. Et pass hash-angrepet er en der nettkriminelle bruker den usprukkede passordhashen for å få tilgang til brukerens konto og autentisere seg selv.
I en vanlig autentiseringsprosess skriver du inn passordet ditt i ren tekst. Passordet hashes deretter med en kryptografisk algoritme (som MD5 eller SHA1) og sammenlignes med hashedversjonen som er lagret i systemets database. Hvis hashen samsvarer, blir du autentisert. Men i et pass hash-angrepet, avskjærer angriperen passord-hashen under autentisering og gjenbruker den for å autentisere uten å kjenne til ren tekstpassordet.
Hvordan forhindre LLMNR-forgiftning?
LLMNR-forgiftning kan være et populært nettangrep, dette betyr også at det finnes testede og pålitelige tiltak for å redusere det og sikre deg og dine eiendeler. Noen av disse tiltakene inkluderer bruk av brannmurer, multifaktorautentisering, IPSec, sterke passord og deaktivering av LLMNR helt.
1. Deaktiver LLMNR
Den beste måten å unngå at et LLMNR-forgiftningsangrep skjer med deg, er å deaktivere LLMNR-protokollen på nettverket ditt. Hvis du ikke bruker tjenesten, er det ikke nødvendig å ha den ekstra sikkerhetsrisikoen.
Hvis du trenger slik funksjonalitet, er det bedre og sikrere alternativet Domain Name System (DNS)-protokollen.
2. Krev nettverkstilgangskontroll
Nettverkstilgangskontroll forhindrer LLMNR-forgiftningsangrep ved å håndheve sterke sikkerhetspolicyer og tilgangskontrolltiltak på alle nettverksenheter. Den kan oppdage og blokkere uautoriserte enheter fra å få tilgang til nettverket og gi sanntidsovervåking og varsler
Nettverkstilgangskontroll kan også forhindre LLMNR-forgiftningsangrep av håndheve nettverkssegmentering, som begrenser angrepsoverflaten til nettverket og begrenser uautorisert tilgang til sensitive data eller kritiske systemer.
3. Implementer nettverkssegmentering
Du kan begrense omfanget av LLMNR-forgiftningsangrep med dele nettverket inn i mindre undernett. Dette kan gjøres ved bruk av VLAN, brannmurer og andre nettverkssikkerhetstiltak.
4. Bruk sterke passord
I tilfelle et LLMNR-forgiftningsangrep finner sted, er det tilrådelig å bruke sterke passord som ikke lett kan knekkes. Svake passord, for eksempel de som er basert på navnet ditt eller en tallsekvens, kan lett gjettes eller finnes allerede i en ordboktabell eller en passordliste.
Oppretthold en sterk sikkerhetsstilling
Å opprettholde en god sikkerhetsstilling er et kritisk aspekt for å beskytte systemene og dataene dine mot cybertrusler som LLMNR-forgiftning. Å gjøre det krever en kombinasjon av proaktive tiltak, som å implementere sterke passord, jevnlig oppdatering av programvare og systemer og opplæring av ansatte om beste praksis for sikkerhet.
Ved å kontinuerlig vurdere og forbedre sikkerhetstiltakene kan organisasjonen din ligge i forkant av brudd og trusler og beskytte eiendelene dine mot angrep.