De Windows-datorer som är anslutna till ditt lokala nätverk kan vara sårbara. Ska du säkra din LLMNR-användning eller klara dig helt utan funktionen?
Windows Active Directory är en tjänst skapad av Microsoft som fortfarande används idag i många organisationer runt om i världen. Den ansluter och lagrar information om flera enheter och tjänster på samma nätverk tillsammans. Men om ett företags Active Directory inte är korrekt och säkert konfigurerat kan det leda till en rad sårbarheter och attacker.
En av de mer populära Active Directory-attackerna är LLMNR-förgiftningsattacken. Om den lyckas kan en LLMNR-förgiftningsattack ge en hackare admin åtkomst och privilegier till Active Directory-tjänsten.
Läs vidare för att upptäcka hur LLMNR-förgiftningsattacken fungerar och hur du förhindrar att det händer dig.
Vad är LLMNR?
LLMNR står för Link-Local Multicast Name Resolution. Det är en namnupplösningstjänst eller ett protokoll som används på Windows för att lösa IP-adressen för en värd på samma lokala nätverk när DNS-servern inte är tillgänglig.
LLMNR fungerar genom att skicka en fråga till alla enheter över ett nätverk som begär ett specifikt värdnamn. Den gör detta med hjälp av ett Name Resolution Request (NRR)-paket som den sänder till alla enheter i det nätverket. Om det finns en enhet med det värdnamnet kommer den att svara med ett Name Resolution Response (NRP)-paket som innehåller dess IP-adress och upprätta en anslutning till den begärande enheten.
Tyvärr är LLMNR långt ifrån ett säkert läge för värdnamnsupplösning. Dess främsta svaghet är att den använder ens användarnamn tillsammans med motsvarande lösenord när man kommunicerar.
Vad är LLMNR-förgiftning?
LLMNR-förgiftning är en typ av man-i-mitten-attack som utnyttjar LLMNR-protokollet (Link-Local Multicast Name Resolution) i Windows-system. I LLMNR Poisoning lyssnar en angripare och väntar på att fånga upp en begäran från målet. Om det lyckas kan den här personen skicka ett skadligt LLMNR-svar till en måldator och lura in den skicka känslig information (användarnamn och lösenord hash) till dem istället för det avsedda nätverket resurs. Denna attack kan användas för att stjäla referenser, utföra nätverksspaning eller starta ytterligare attacker på målsystemet eller nätverket.
Hur fungerar LLMNR-förgiftning?
I de flesta fall uppnås LLMNR med hjälp av ett verktyg som heter Responder. Det är ett populärt skript med öppen källkod som vanligtvis är skrivet i python och används för LLMNR, NBT-NS och MDNS-förgiftning. Den ställer in flera servrar som SMB, LDAP, Auth, WDAP, etc. När det körs på ett nätverk lyssnar Responder-skriptet på LLMNR-förfrågningar från andra enheter i det nätverket och utför man-in-the-middle-attacker på dem. Verktyget kan användas för att fånga autentiseringsuppgifter, få tillgång till system och utföra andra skadliga aktiviteter.
När en angripare kör svarsskriptet lyssnar skriptet tyst efter händelser och LLMNR-frågor. När en inträffar skickar den förgiftade svar till dem. Om dessa spoofing-attacker lyckas visar svararen målets användarnamn och lösenords-hash.
Angriparen kan sedan försöka knäcka lösenordshashen med hjälp av olika lösenordsknäckande verktyg. Lösenords-hash är vanligtvis en NTLMv1-hash. Om målets lösenord är svagt skulle det bli brutalt forcerat och knäckt på kort eller ingen tid. Och när detta händer, skulle angriparen kunna logga in på användarens konto, efterlikna offer, installera skadlig programvara eller utföra andra aktiviteter som nätverksspaning och data exfiltration.
Passera hashattackerna
Det skrämmande med den här attacken är att lösenords-hash ibland inte behöver knäckas. Själva hashen kan användas i ett pass hashattacken. En pass the hash attack är en där cyberbrottslingen använder den okräckta lösenordshashen för att få tillgång till användarens konto och autentisera sig.
I en normal autentiseringsprocess anger du ditt lösenord i vanlig text. Lösenordet hashas sedan med en kryptografisk algoritm (som MD5 eller SHA1) och jämförs med den hashade versionen som lagras i systemets databas. Om hasharna matchar blir du autentiserad. Men i ett pass hash-attacken, fångar angriparen upp lösenordshashen under autentiseringen och återanvänder den för att autentisera utan att känna till vanlig textlösenordet.
Hur man förhindrar LLMNR-förgiftning?
LLMNR-förgiftning kan vara en populär cyberattack, detta betyder också att det finns testade och pålitliga åtgärder för att mildra det och säkra dig och dina tillgångar. Några av dessa åtgärder inkluderar användning av brandväggar, multifaktorautentisering, IPSec, starka lösenord och inaktivering av LLMNR helt och hållet.
1. Inaktivera LLMNR
Det bästa sättet att undvika att en LLMNR-förgiftningsattack händer dig är att inaktivera LLMNR-protokollet på ditt nätverk. Om du inte använder tjänsten behöver du inte ha den extra säkerhetsrisken.
Om du behöver sådan funktionalitet är det bättre och säkrare alternativet protokollet Domain Name System (DNS).
2. Kräv nätverksåtkomstkontroll
Network Access Control förhindrar LLMNR-förgiftningsattacker genom att tillämpa starka säkerhetspolicyer och åtkomstkontrollåtgärder på alla nätverksenheter. Den kan upptäcka och blockera obehöriga enheter från att komma åt nätverket och ge realtidsövervakning och varningar
Network Access Control kan också förhindra LLMNR-förgiftningsattacker av upprätthålla nätverkssegmentering, vilket begränsar nätverkets attackyta och begränsar obehörig åtkomst till känslig data eller kritiska system.
3. Implementera nätverkssegmentering
Du kan begränsa omfattningen av LLMNR-förgiftningsattacker med dela upp ditt nätverk i mindre undernät. Detta kan göras genom att använda VLAN, brandväggar och andra nätverkssäkerhetsåtgärder.
4. Använd starka lösenord
I händelse av att en LLMNR-förgiftningsattack äger rum, är det tillrådligt att använda starka lösenord som inte lätt kan knäckas. Svaga lösenord, t.ex. de som baseras på ditt namn eller en nummersekvens, kan lätt gissas eller finns redan i en ordbokstabell eller en lösenordslista.
Upprätthåll en stark säkerhetsställning
Att upprätthålla en bra säkerhetsställning är en kritisk aspekt för att skydda dina system och data mot cyberhot som LLMNR-förgiftning. För att göra det krävs en kombination av proaktiva åtgärder, som att implementera starka lösenord, regelbundet uppdatera mjukvara och system och att utbilda anställda om bästa säkerhetspraxis.
Genom att kontinuerligt utvärdera och förbättra säkerhetsåtgärder kan din organisation ligga steget före intrång och hot och skydda dina tillgångar från attacker.
