ПК с Windows, подключенные к вашей локальной сети, могут быть уязвимы. Должны ли вы обезопасить использование LLMNR или полностью отказаться от этой функции?
Windows Active Directory — это служба, созданная Microsoft, которая до сих пор используется во многих организациях по всему миру. Он соединяет и хранит информацию о нескольких устройствах и службах в одной сети вместе. Но если Active Directory компании настроена неправильно и небезопасно, это может привести к ряду уязвимостей и атак.
Одной из наиболее популярных атак Active Directory является атака отравления LLMNR. В случае успеха атака отравления LLMNR может предоставить хакеру-администратору доступ и привилегии к службе Active Directory.
Читайте дальше, чтобы узнать, как работает атака отравления LLMNR и как ее предотвратить.
Что такое LLMNR?
LLMNR расшифровывается как Link-Local Multicast Name Resolution. Это служба или протокол разрешения имен, используемый в Windows для разрешения IP-адреса хоста в той же локальной сети, когда DNS-сервер недоступен.
LLMNR работает, отправляя запрос на все устройства в сети, запрашивая определенное имя хоста. Для этого используется пакет запроса на разрешение имен (NRR), который рассылается всем устройствам в этой сети. Если есть устройство с таким именем хоста, оно ответит пакетом ответа на разрешение имени (NRP), содержащим его IP-адрес, и установит соединение с запрашивающим устройством.
К сожалению, LLMNR далеко не безопасный способ разрешения имен хостов. Его главная слабость заключается в том, что он использует имя пользователя вместе с соответствующим паролем при общении.
Что такое отравление LLMNR?
LLMNR Poisoning — это тип атаки «человек посередине», которая использует протокол LLMNR (Link-Local Multicast Name Resolution) в системах Windows. В LLMNR Poisoning злоумышленник слушает и ждет, чтобы перехватить запрос от цели. В случае успеха этот человек может затем отправить вредоносный ответ LLMNR на целевой компьютер, обманув его. отправка им конфиденциальной информации (имя пользователя и хэш пароля) вместо предполагаемой сети ресурс. Эта атака может использоваться для кражи учетных данных, проведения сетевой разведки или запуска дальнейших атак на целевую систему или сеть.
Как работает отравление LLMNR?
В большинстве случаев LLMNR достигается с помощью инструмента Responder. Это популярный скрипт с открытым исходным кодом, обычно написанный на python и используемый для отравления LLMNR, NBT-NS и MDNS. Он устанавливает несколько серверов, таких как SMB, LDAP, Auth, WDAP и т. д. При запуске в сети сценарий Responder прослушивает запросы LLMNR, сделанные другими устройствами в этой сети, и выполняет на них атаки типа «человек посередине». Инструмент можно использовать для захвата учетных данных для аутентификации, получения доступа к системам и выполнения других вредоносных действий.
Когда злоумышленник выполняет сценарий ответчика, сценарий незаметно прослушивает события и запросы LLMNR. Когда он возникает, он посылает им отравленные ответы. Если эти спуфинговые атаки успешны, ответчик отображает хеш имени пользователя и пароля цели.
Затем злоумышленник может попытаться взломать хэш пароля, используя различные инструменты для взлома паролей. Хэш пароля обычно представляет собой хеш NTLMv1. Если пароль цели слабый, он будет взломан грубой силой и взломан практически мгновенно. И когда это произойдет, злоумышленник сможет войти в учетную запись пользователя, выдать себя за стать жертвой, установить вредоносное ПО или выполнить другие действия, такие как сетевая разведка и данные эксфильтрация.
Пройти хеш-атаки
Самое страшное в этой атаке то, что иногда хэш пароля не нужно взламывать. Сам хэш может быть использован для прохода хеш-атаки. Атака pass the hash — это атака, при которой киберпреступник использует невзломанный хэш пароля, чтобы получить доступ к учетной записи пользователя и аутентифицировать себя.
В обычном процессе аутентификации вы вводите свой пароль в виде обычного текста. Затем пароль хэшируется с помощью криптографического алгоритма (например, MD5 или SHA1) и сравнивается с хешированной версией, хранящейся в базе данных системы. Если хэши совпадают, вы проходите аутентификацию. Но при атаке pass the hash злоумышленник перехватывает хэш пароля во время аутентификации и повторно использует его для аутентификации, не зная открытого текста пароля.
Как предотвратить отравление LLMNR?
Отравление LLMNR может быть популярной кибератакой, это также означает, что существуют проверенные и надежные меры для смягчения последствий и защиты вас и ваших активов. Некоторые из этих мер включают использование брандмауэров, многофакторную аутентификацию, IPSec, надежные пароли и полное отключение LLMNR.
1. Отключить LLMNR
Лучший способ избежать атаки отравления LLMNR — отключить протокол LLMNR в вашей сети. Если вы не пользуетесь этой службой, вам не нужно подвергать себя дополнительной угрозе безопасности.
Если вам нужна такая функциональность, лучшей и более безопасной альтернативой является протокол системы доменных имен (DNS).
2. Требовать контроля доступа к сети
Управление доступом к сети предотвращает отравляющие атаки LLMNR, применяя строгие политики безопасности и меры контроля доступа на всех сетевых устройствах. Он может обнаруживать и блокировать доступ к сети неавторизованных устройств, а также обеспечивать мониторинг и оповещения в режиме реального времени.
Управление доступом к сети также может предотвратить атаки отравления LLMNR путем обеспечение сегментации сети, что ограничивает поверхность атаки сети и ограничивает несанкционированный доступ к конфиденциальным данным или критически важным системам.
3. Внедрение сегментации сети
Вы можете ограничить масштаб атак LLMNR Poisoning, разделение вашей сети на более мелкие подсети. Это можно сделать с помощью VLAN, брандмауэров и других мер сетевой безопасности.
4. Используйте надежные пароли
В случае атаки отравления LLMNR рекомендуется использовать надежные пароли, которые нелегко взломать. Слабые пароли, например пароли, основанные на вашем имени или последовательности цифр, могут быть легко угаданы или уже существуют в таблице словаря или списке паролей.
Поддерживайте высокий уровень безопасности
Поддержание надлежащего уровня безопасности является критически важным аспектом защиты ваших систем и данных от таких киберугроз, как отравление LLMNR. Для этого требуется сочетание упреждающих мер, таких как внедрение надежных паролей, регулярное обновление программного обеспечения и систем, а также обучение сотрудников передовым методам обеспечения безопасности.
Постоянно оценивая и совершенствуя меры безопасности, ваша организация может опережать взломы и угрозы и защищать свои активы от атак.
