Komputery z systemem Windows podłączone do sieci lokalnej mogą być podatne na ataki. Czy należy zabezpieczyć korzystanie z LLMNR, czy całkowicie zrezygnować z tej funkcji?
Windows Active Directory to usługa stworzona przez firmę Microsoft, która jest nadal używana w wielu organizacjach na całym świecie. Łączy i przechowuje informacje o wielu urządzeniach i usługach w tej samej sieci. Ale jeśli usługa Active Directory firmy nie jest odpowiednio i bezpiecznie skonfigurowana, może to prowadzić do serii luk w zabezpieczeniach i ataków.
Jednym z bardziej popularnych ataków Active Directory jest atak LLMNR Poisoning. Jeśli się powiedzie, atak trujący LLMNR może zapewnić administratorowi hakerowi dostęp i uprawnienia do usługi Active Directory.
Czytaj dalej, aby dowiedzieć się, jak działa atak zatrucia LLMNR i jak temu zapobiec.
Co to jest LLMNR?
LLMNR to skrót od Link-Local Multicast Name Resolution. Jest to usługa lub protokół rozpoznawania nazw używany w systemie Windows do rozpoznawania adresu IP hosta w tej samej sieci lokalnej, gdy serwer DNS jest niedostępny.
LLMNR działa, wysyłając zapytanie do wszystkich urządzeń w sieci z żądaniem określonej nazwy hosta. Robi to za pomocą pakietu żądania rozpoznawania nazw (NRR), który rozgłasza do wszystkich urządzeń w tej sieci. Jeśli istnieje urządzenie o tej nazwie hosta, odpowie ono pakietem odpowiedzi na rozpoznawanie nazw (NRP) zawierającym jego adres IP i nawiąże połączenie z żądającym urządzeniem.
Niestety, LLMNR nie jest bezpiecznym trybem rozpoznawania nazw hostów. Jego główną słabością jest to, że podczas komunikacji używa nazwy użytkownika wraz z odpowiednim hasłem.
Co to jest zatrucie LLMNR?
LLMNR Poisoning to rodzaj ataku typu man-in-the-middle, który wykorzystuje protokół LLMNR (Link-Local Multicast Name Resolution) w systemach Windows. W zatruciu LLMNR atakujący nasłuchuje i czeka na przechwycenie żądania od celu. Jeśli się powiedzie, ta osoba może następnie wysłać złośliwą odpowiedź LLMNR do komputera docelowego, oszukując go wysyłanie poufnych informacji (nazwy użytkownika i skrótu hasła) do nich zamiast do zamierzonej sieci ratunek. Atak ten może zostać wykorzystany do kradzieży danych uwierzytelniających, przeprowadzenia rekonesansu sieci lub przeprowadzenia dalszych ataków na docelowy system lub sieć.
Jak działa zatrucie LLMNR?
W większości przypadków LLMNR uzyskuje się za pomocą narzędzia o nazwie Responder. Jest to popularny skrypt typu open source, zwykle napisany w Pythonie i używany do zatruwania LLMNR, NBT-NS i MDNS. Konfiguruje wiele serwerów, takich jak SMB, LDAP, Auth, WDAP itp. Po uruchomieniu w sieci skrypt Responder nasłuchuje zapytań LLMNR wysyłanych przez inne urządzenia w tej sieci i przeprowadza na nie ataki typu man-in-the-middle. Narzędzie może służyć do przechwytywania danych uwierzytelniających, uzyskiwania dostępu do systemów i wykonywania innych złośliwych działań.
Gdy osoba atakująca wykonuje skrypt odpowiadający, skrypt nasłuchuje po cichu zdarzeń i zapytań LLMNR. Kiedy się pojawi, wysyła im zatrute odpowiedzi. Jeśli te ataki podszywania się powiodą, responder wyświetla nazwę użytkownika celu i skrót hasła.
Atakujący może następnie spróbować złamać skrót hasła za pomocą różnych narzędzi do łamania haseł. Skrót hasła jest zwykle skrótem NTLMv1. Jeśli hasło celu jest słabe, zostanie brutalnie wymuszone i złamane w krótkim czasie. A kiedy tak się stanie, atakujący będzie mógł zalogować się na konto użytkownika, podszyć się pod niego ofiary, instalować złośliwe oprogramowanie lub wykonywać inne czynności, takie jak rekonesans sieci i dane eksfiltracja.
Przeprowadź ataki haszujące
Przerażające w tym ataku jest to, że czasami hash hasła nie musi być łamany. Sam hash może być użyty w przekazaniu ataku haszującego. Atak typu pass the hash to atak, w którym cyberprzestępca wykorzystuje niezłamany skrót hasła, aby uzyskać dostęp do konta użytkownika i uwierzytelnić się.
W normalnym procesie uwierzytelniania hasło wprowadza się zwykłym tekstem. Hasło jest następnie haszowane za pomocą algorytmu kryptograficznego (takiego jak MD5 lub SHA1) i porównywane z zaszyfrowaną wersją przechowywaną w bazie danych systemu. Jeśli skróty są zgodne, zostajesz uwierzytelniony. Ale podczas ataku z haszem atakujący przechwytuje skrót hasła podczas uwierzytelniania i używa go ponownie do uwierzytelnienia bez znajomości hasła w postaci zwykłego tekstu.
Jak zapobiegać zatruciom LLMNR?
Zatrucie LLMNR może być popularnym cyberatakiem, co oznacza również, że istnieją sprawdzone i zaufane środki, które pozwalają go złagodzić i zabezpieczyć Ciebie i Twoje aktywa. Niektóre z tych środków obejmują korzystanie z zapór ogniowych, uwierzytelnianie wieloskładnikowe, IPSec, silne hasła i całkowite wyłączenie LLMNR.
1. Wyłącz LLMNR
Najlepszym sposobem na uniknięcie ataku zatrucia LLMNR jest wyłączenie protokołu LLMNR w sieci. Jeśli nie korzystasz z usługi, nie musisz mieć dodatkowego zagrożenia bezpieczeństwa.
Jeśli potrzebujesz takiej funkcjonalności, lepszą i bezpieczniejszą alternatywą jest protokół systemu nazw domen (DNS).
2. Wymagaj kontroli dostępu do sieci
Kontrola dostępu do sieci zapobiega atakom zatruwania LLMNR poprzez egzekwowanie silnych zasad bezpieczeństwa i środków kontroli dostępu na wszystkich urządzeniach sieciowych. Może wykrywać i blokować dostęp do sieci nieautoryzowanym urządzeniom oraz zapewniać monitorowanie i alerty w czasie rzeczywistym
Kontrola dostępu do sieci może również zapobiegać atakom zatruwania LLMNR przez egzekwowanie segmentacji sieci, co ogranicza powierzchnię ataku w sieci i ogranicza nieautoryzowany dostęp do wrażliwych danych lub krytycznych systemów.
3. Zaimplementuj segmentację sieci
Możesz ograniczyć zakres ataków zatrucia LLMNR przez dzieląc sieć na mniejsze podsieci. Można to zrobić za pomocą sieci VLAN, zapór ogniowych i innych środków bezpieczeństwa sieci.
4. Używaj silnych haseł
W przypadku ataku zatruwającego LLMNR zaleca się stosowanie silnych haseł, których nie można łatwo złamać. Słabe hasła, na przykład oparte na Twoim imieniu lub sekwencji cyfr, można łatwo odgadnąć lub już istnieją w tabeli słowników lub na liście haseł.
Utrzymuj silną postawę bezpieczeństwa
Utrzymanie dobrego stanu bezpieczeństwa jest kluczowym aspektem ochrony systemów i danych przed cyberzagrożeniami, takimi jak zatrucie LLMNR. Wymaga to połączenia proaktywnych środków, takich jak wdrażanie silnych haseł, regularne aktualizowanie oprogramowania i systemów oraz edukowanie pracowników w zakresie najlepszych praktyk w zakresie bezpieczeństwa.
Dzięki ciągłej ocenie i ulepszaniu środków bezpieczeństwa Twoja organizacja może wyprzedzać naruszenia i zagrożenia oraz chronić zasoby przed atakami.
