A helyi hálózathoz csatlakoztatott Windows PC-k sérülékenyek lehetnek. Biztosítsa az LLMNR használatát, vagy teljesen nélkülözze a funkciót?
A Windows Active Directory a Microsoft által létrehozott szolgáltatás, amelyet ma is használnak számos szervezet szerte a világon. Együtt köt össze és tárol információkat ugyanazon a hálózaton több eszközről és szolgáltatásról. De ha egy vállalat Active Directoryja nincs megfelelően és biztonságosan konfigurálva, az egy sor sebezhetőséghez és támadáshoz vezethet.
Az egyik legnépszerűbb Active Directory támadás az LLMNR Poisoning támadás. Sikeres esetben egy LLMNR-mérgezési támadás adminisztrátori hozzáférést és jogosultságokat adhat a hackernek az Active Directory szolgáltatáshoz.
Olvassa el, hogy megtudja, hogyan működik az LLMNR mérgezési támadás, és hogyan előzheti meg, hogy Ön is megtörténjen.
Mi az LLMNR?
Az LLMNR a Link-Local Multicast Name Resolution rövidítése. Ez egy névfeloldó szolgáltatás vagy protokoll, amelyet a Windows rendszerben használnak az ugyanazon a helyi hálózaton lévő gazdagép IP-címének feloldására, ha a DNS-kiszolgáló nem érhető el.
Az LLMNR úgy működik, hogy egy adott állomásnevet kérve lekérdezést küld a hálózat összes eszközére. Ezt egy Name Resolution Request (NRR) csomag segítségével teszi, amelyet az adott hálózaton lévő összes eszközre sugároz. Ha van ilyen gazdagépnévvel rendelkező eszköz, akkor az IP-címét tartalmazó Name Resolution Response (NRP) csomaggal válaszol, és kapcsolatot létesít a kérelmező eszközzel.
Sajnos az LLMNR messze nem a gazdagépnév-feloldás biztonságos módja. Legfőbb gyengesége, hogy a kommunikáció során a hozzá tartozó jelszó mellett a felhasználónevet is használja.
Mi az LLMNR mérgezés?
Az LLMNR-mérgezés a köztes támadások egyik fajtája, amely az LLMNR (Link-Local Multicast Name Resolution) protokollt használja ki a Windows rendszerekben. Az LLMNR-mérgezésben a támadó figyel, és vár, hogy elfogja a célpont kérését. Ha sikeres, ez a személy rosszindulatú LLMNR-választ küldhet a célszámítógépnek, becsapva azt érzékeny információk (felhasználónév és jelszó hash) küldése nekik a tervezett hálózat helyett forrás. Ez a támadás felhasználható hitelesítő adatok ellopására, hálózati felderítés végrehajtására, vagy további támadások indítására a célrendszer vagy hálózat ellen.
Hogyan működik az LLMNR mérgezés?
A legtöbb esetben az LLMNR a Responder nevű eszközzel érhető el. Ez egy népszerű nyílt forráskódú szkript, amelyet általában python nyelven írnak, és LLMNR, NBT-NS és MDNS mérgezéshez használják. Több szervert állít be, például SMB, LDAP, Auth, WDAP stb. Hálózaton futtatva a válaszszkript figyeli a hálózaton lévő más eszközök LLMNR-lekérdezéseit, és emberközeli támadásokat hajt végre ellenük. Az eszköz használható hitelesítési adatok rögzítésére, rendszerekhez való hozzáférésre és egyéb rosszindulatú tevékenységek végrehajtására.
Amikor egy támadó végrehajtja a válaszszkriptet, a szkript csendesen figyel az eseményekre és az LLMNR-lekérdezésekre. Amikor előfordul, mérgező válaszokat küld rájuk. Ha ezek a hamisító támadások sikeresek, a válaszadó megjeleníti a cél felhasználónevét és jelszavát.
A támadó ezután különféle jelszófeltörő eszközök segítségével megpróbálhatja feltörni a jelszókivonatot. A jelszókivonat általában NTLMv1 hash. Ha a célpont jelszava gyenge, akkor durva erőltetett lesz, és rövid időn belül feltörik. És amikor ez megtörténik, a támadó képes lesz bejelentkezni a felhasználó fiókjába, megszemélyesíteni a áldozatot, rosszindulatú szoftvert telepít, vagy más tevékenységet hajt végre, például hálózati felderítést és adatgyűjtést kiszűrés.
Pass a Hash Attacks
Az a félelmetes ebben a támadásban, hogy néha nem kell feltörni a jelszókivonatot. Maga a hash felhasználható a hash támadásban. A hash átengedése olyan támadás, ahol a kiberbûnözõ a fel nem tört jelszókivonatot használja, hogy hozzáférjen a felhasználó fiókjához és hitelesítse magát.
A normál hitelesítési folyamat során a jelszavát egyszerű szövegben adja meg. A jelszót ezután egy kriptográfiai algoritmus (például MD5 vagy SHA1) kivonatolja, és összehasonlítja a rendszer adatbázisában tárolt kivonatolt verzióval. Ha a hash-ek egyeznek, Ön hitelesítve lesz. A hash támadás során azonban a támadó elfogja a jelszókivonatot a hitelesítés során, és újra felhasználja a hitelesítéshez anélkül, hogy ismerné az egyszerű szöveges jelszót.
Hogyan lehet megelőzni az LLMNR mérgezést?
Az LLMNR-mérgezés népszerű kibertámadás lehet, ami azt is jelenti, hogy léteznek tesztelt és megbízható intézkedések a mérséklésére, valamint az Ön és eszközei védelmére. Ezen intézkedések közé tartozik a tűzfalak használata, a többtényezős hitelesítés, az IPSec, az erős jelszavak és az LLMNR teljes letiltása.
1. LLMNR letiltása
Az LLMNR-mérgezéses támadások elkerülésének legjobb módja az LLMNR protokoll letiltása a hálózaton. Ha nem használja a szolgáltatást, nincs szükség további biztonsági kockázatra.
Ha szüksége van ilyen funkciókra, a jobb és biztonságosabb alternatíva a Domain Name System (DNS) protokoll.
2. Hálózati hozzáférés-vezérlés szükséges
A hálózati hozzáférés-szabályozás megakadályozza az LLMNR-mérgező támadásokat azáltal, hogy minden hálózati eszközön szigorú biztonsági szabályzatokat és hozzáférés-ellenőrzési intézkedéseket kényszerít ki. Képes észlelni és blokkolni a jogosulatlan eszközök hálózathoz való hozzáférését, valamint valós idejű megfigyelést és riasztást biztosít
A hálózati hozzáférés-szabályozás az LLMNR-mérgező támadásokat is megakadályozhatja hálózati szegmentáció érvényesítése, amely korlátozza a hálózat támadási felületét, és korlátozza az érzékeny adatokhoz vagy kritikus rendszerekhez való jogosulatlan hozzáférést.
3. Hálózati szegmentáció megvalósítása
Korlátozhatja az LLMNR-mérgezési támadások hatókörét, ha a hálózat felosztása kisebb alhálózatokra. Ez megtehető VLAN-ok, tűzfalak és egyéb hálózati biztonsági intézkedések használatával.
4. Használjon erős jelszavakat
Abban az esetben, ha LLMNR mérgezési támadásra kerül sor, tanácsos erős jelszavakat használni, amelyeket nem lehet könnyen feltörni. A gyenge jelszavak, például a nevén vagy számsoron alapuló jelszavak könnyen kitalálhatók, vagy már léteznek egy szótártáblázatban vagy egy jelszólistában.
Tartson erős biztonsági testtartást
A megfelelő biztonsági testtartás fenntartása kritikus szempont a rendszerek és adatok olyan kiberfenyegetésekkel szembeni védelmében, mint az LLMNR-mérgezés. Ehhez olyan proaktív intézkedések kombinációjára van szükség, mint például az erős jelszavak bevezetése, a szoftverek és rendszerek rendszeres frissítése, valamint az alkalmazottak oktatása a legjobb biztonsági gyakorlatokról.
A biztonsági intézkedések folyamatos értékelésével és fejlesztésével szervezete megelőzheti a jogsértéseket és a fenyegetéseket, és megvédheti eszközeit a támadásoktól.
