PC-urile Windows conectate la rețeaua locală ar putea fi vulnerabile. Ar trebui să vă asigurați utilizarea LLMNR sau să faceți fără funcție în întregime?
Windows Active Directory este un serviciu creat de Microsoft care este folosit și astăzi în numeroase organizații din întreaga lume. Conectează și stochează împreună informații despre mai multe dispozitive și servicii din aceeași rețea. Dar dacă Active Directory al unei companii nu este configurat corect și sigur, ar putea duce la o serie de vulnerabilități și atacuri.
Unul dintre cele mai populare atacuri Active Directory este atacul LLMNR Poisoning. Dacă are succes, un atac de otrăvire LLMNR poate oferi unui hacker acces și privilegii de administrator la serviciul Active Directory.
Citiți mai departe pentru a descoperi cum funcționează atacul de otrăvire LLMNR și cum să preveniți să vi se întâmple.
Ce este LLMNR?
LLMNR înseamnă Link-Local Multicast Name Resolution. Este un serviciu de rezoluție de nume sau un protocol folosit pe Windows pentru a rezolva adresa IP a unei gazde din aceeași rețea locală atunci când serverul DNS nu este disponibil.
LLMNR funcționează prin trimiterea unei interogări către toate dispozitivele dintr-o rețea care solicită un anumit nume de gazdă. Face acest lucru folosind un pachet de cerere de rezoluție de nume (NRR) pe care îl transmite tuturor dispozitivelor din acea rețea. Dacă există un dispozitiv cu acel nume de gazdă, acesta va răspunde cu un pachet NRP (Name Resolution Response) care conține adresa sa IP și va stabili o conexiune cu dispozitivul solicitant.
Din păcate, LLMNR este departe de a fi un mod sigur de rezoluție a numelor de gazdă. Principala sa slăbiciune este că folosește numele de utilizator alături de parola corespunzătoare atunci când comunică.
Ce este otrăvirea LLMNR?
LLMNR Poisoning este un tip de atac de tip man-in-the-middle care exploatează protocolul LLMNR (Link-Local Multicast Name Resolution) în sistemele Windows. În LLMNR Poisoning, un atacator ascultă și așteaptă să intercepteze o solicitare de la țintă. Dacă reușește, această persoană poate trimite un răspuns LLMNR rău intenționat către un computer țintă, păcălindu-l trimițându-le informații sensibile (nume de utilizator și parola hash) în locul rețelei vizate resursă. Acest atac poate fi folosit pentru a fura acreditări, pentru a efectua recunoaștere a rețelei sau pentru a lansa alte atacuri asupra sistemului sau a rețelei țintă.
Cum funcționează otrăvirea LLMNR?
În cele mai multe cazuri, LLMNR se realizează folosind un instrument numit Responder. Este un script open-source popular, scris de obicei în python și folosit pentru otrăvirea LLMNR, NBT-NS și MDNS. Configurați mai multe servere precum SMB, LDAP, Auth, WDAP etc. Când rulează într-o rețea, scriptul Responder ascultă interogările LLMNR făcute de alte dispozitive din acea rețea și efectuează atacuri man-in-the-middle asupra acestora. Instrumentul poate fi folosit pentru a captura acreditările de autentificare, pentru a obține acces la sisteme și pentru a efectua alte activități rău intenționate.
Când un atacator execută scriptul de răspuns, scriptul ascultă în liniște evenimentele și interogările LLMNR. Când apare unul, le trimite răspunsuri otrăvite. Dacă aceste atacuri de falsificare au succes, respondentul afișează hash-ul numelui de utilizator și al parolei țintei.
Atacatorul poate încerca apoi să spargă hash-ul parolei folosind diverse instrumente de spargere a parolei. Hash-ul parolei este de obicei un hash NTLMv1. Dacă parola țintei este slabă, aceasta ar fi forțată și spartă în scurt timp. Și atunci când se întâmplă acest lucru, atacatorul ar putea să se autentifice în contul utilizatorului, să se uite la victimă, instalați programe malware sau efectuați alte activități precum recunoașterea rețelei și date exfiltrare.
Treceți atacurile Hash
Lucrul înfricoșător la acest atac este că, uneori, hash-ul parolei nu trebuie să fie spart. Hash-ul în sine poate fi folosit într-o trecere a atacului hash. Un atac de tip hash este unul în care criminalul cibernetic folosește hash-ul parolei nedescrise pentru a obține acces la contul utilizatorului și pentru a se autentifica.
Într-un proces normal de autentificare, introduceți parola în text simplu. Parola este apoi hashing cu un algoritm criptografic (cum ar fi MD5 sau SHA1) și comparată cu versiunea hashing stocată în baza de date a sistemului. Dacă hashe-urile se potrivesc, devii autentificat. Dar, într-o trecere a atacului hash, atacatorul interceptează hash-ul parolei în timpul autentificării și îl reutiliza pentru a se autentifica fără a cunoaște parola text simplu.
Cum să preveniți otrăvirea cu LLMNR?
Otrăvirea LLMNR ar putea fi un atac cibernetic popular, aceasta înseamnă, de asemenea, că există măsuri testate și de încredere pentru a-l atenua și pentru a vă proteja pe dvs. și activele dvs. Unele dintre aceste măsuri includ utilizarea paravanelor de protecție, autentificarea multifactorială, IPSec, parole puternice și dezactivarea completă a LLMNR.
1. Dezactivați LLMNR
Cel mai bun mod de a evita să vi se întâmple un atac de otrăvire LLMNR este să dezactivați protocolul LLMNR din rețeaua dvs. Dacă nu utilizați serviciul, nu este necesar să aveți un risc suplimentar de securitate.
Dacă aveți nevoie de o astfel de funcționalitate, alternativa mai bună și mai sigură este protocolul Domain Name System (DNS).
2. Necesită controlul accesului la rețea
Network Access Control previne atacurile de otrăvire LLMNR prin aplicarea unor politici puternice de securitate și măsuri de control al accesului pe toate dispozitivele din rețea. Poate detecta și bloca accesul la rețea a dispozitivelor neautorizate și oferă monitorizare și alerte în timp real
Network Access Control poate preveni, de asemenea, atacurile de otrăvire LLMNR prin impunerea segmentării rețelei, care limitează suprafața de atac a rețelei și restricționează accesul neautorizat la date sensibile sau sisteme critice.
3. Implementați segmentarea rețelei
Puteți limita sfera atacurilor de otrăvire LLMNR prin împărțirea rețelei în subrețele mai mici. Acest lucru se poate face prin utilizarea de VLAN-uri, firewall-uri și alte măsuri de securitate a rețelei.
4. Utilizați parole puternice
În cazul în care are loc un atac de otrăvire LLMNR, este recomandabil să folosiți parole puternice care nu pot fi sparte ușor. Parolele slabe, cum ar fi cele bazate pe numele dvs. sau pe o secvență de numere, pot fi ghicite cu ușurință sau există deja într-un tabel de dicționar sau o listă de parole.
Mențineți o postură de securitate puternică
Menținerea unei bune poziții de securitate este un aspect esențial al protecției sistemelor și datelor dumneavoastră împotriva amenințărilor cibernetice precum Otrăvirea LLMNR. Acest lucru necesită o combinație de măsuri proactive, cum ar fi implementarea parolelor puternice, actualizarea regulată a software-ului și a sistemelor și educarea angajaților cu privire la cele mai bune practici de securitate.
Prin evaluarea și îmbunătățirea continuă a măsurilor de securitate, organizația dvs. poate rămâne în fața încălcărilor și amenințărilor și vă poate proteja activele de atacuri.
