Počítače so systémom Windows pripojené k vašej lokálnej sieti môžu byť zraniteľné. Mali by ste si zabezpečiť používanie LLMNR alebo sa úplne bez tejto funkcie zaobísť?
Windows Active Directory je služba vytvorená spoločnosťou Microsoft, ktorá sa dodnes používa v mnohých organizáciách po celom svete. Spája a ukladá informácie o viacerých zariadeniach a službách v rovnakej sieti. Ak však služba Active Directory spoločnosti nie je správne a bezpečne nakonfigurovaná, môže to viesť k sérii zraniteľností a útokov.
Jedným z najpopulárnejších útokov Active Directory je útok LLMNR Poisoning. Ak bude úspešný, útok otravy LLMNR môže hackerovi poskytnúť správcovský prístup a privilégiá k službe Active Directory.
Čítajte ďalej a zistite, ako funguje útok otravy LLMNR a ako zabrániť tomu, aby sa vám to stalo.
čo je LLMNR?
LLMNR znamená Link-Local Multicast Name Resolution. Je to služba alebo protokol na rozlíšenie názvov, ktorý sa používa v systéme Windows na rozlíšenie adresy IP hostiteľa v rovnakej lokálnej sieti, keď server DNS nie je dostupný.
LLMNR funguje tak, že odošle dotaz na všetky zariadenia v sieti s požiadavkou na konkrétny názov hostiteľa. Robí to pomocou paketu Name Resolution Request (NRR), ktorý vysiela do všetkých zariadení v tejto sieti. Ak existuje zariadenie s týmto názvom hostiteľa, odpovie paketom NRP (Name Resolution Response) s jeho IP adresou a vytvorí spojenie s požadujúcim zariadením.
Bohužiaľ, LLMNR nie je ani zďaleka bezpečným režimom rozlíšenia názvu hostiteľa. Jeho hlavnou slabinou je, že pri komunikácii používa používateľské meno spolu s príslušným heslom.
Čo je otrava LLMNR?
LLMNR Poisoning je typ útoku typu man-in-the-middle, ktorý využíva protokol LLMNR (Link-Local Multicast Name Resolution) v systémoch Windows. V LLMNR Poisoning útočník počúva a čaká na zachytenie požiadavky od cieľa. Ak bude úspešná, táto osoba môže poslať škodlivú odpoveď LLMNR cieľovému počítaču a oklamať ho odosielanie citlivých informácií (používateľské meno a heslo hash) im namiesto zamýšľanej siete zdroj. Tento útok možno použiť na odcudzenie poverení, vykonanie prieskumu siete alebo spustenie ďalších útokov na cieľový systém alebo sieť.
Ako funguje otrava LLMNR?
Vo väčšine prípadov sa LLMNR dosiahne pomocou nástroja s názvom Responder. Je to populárny open-source skript, ktorý je zvyčajne napísaný v pythone a používa sa na otravu LLMNR, NBT-NS a MDNS. Nastavuje viacero serverov ako SMB, LDAP, Auth, WDAP atď. Keď je spúšťaný v sieti, skript Responder počúva požiadavky LLMNR zadané inými zariadeniami v tejto sieti a vykonáva na ne útoky typu man-in-the-middle. Nástroj možno použiť na zachytenie autentifikačných poverení, získanie prístupu k systémom a vykonávanie iných škodlivých činností.
Keď útočník spustí skript odpovede, skript ticho počúva udalosti a dotazy LLMNR. Keď k nim dôjde, pošle im otrávené odpovede. Ak sú tieto spoofingové útoky úspešné, respondent zobrazí cieľové používateľské meno a heslo hash.
Útočník sa potom môže pokúsiť prelomiť hash hesiel pomocou rôznych nástrojov na prelomenie hesiel. Hash hesla je zvyčajne hash NTLMv1. Ak je heslo cieľa slabé, bolo by hrubo vynútené a prelomené v krátkom čase. A keď sa to stane, útočník sa bude môcť prihlásiť do používateľského účtu a vydávať sa zaň obeťou, inštalovať malvér alebo vykonávať iné činnosti, ako je prieskum siete a údajov exfiltrácia.
Prejdite hashovými útokmi
Desivé na tomto útoku je, že niekedy nie je potrebné prelomiť hash hesla. Samotný hash je možné použiť pri útoku na hash. Útok typu pass the hash je útok, pri ktorom kyberzločinec použije nerozlúštený hash hesla na získanie prístupu k účtu používateľa a autentifikáciu.
Pri bežnom autentifikačnom procese zadávate heslo ako obyčajný text. Heslo sa potom zahašuje pomocou kryptografického algoritmu (napríklad MD5 alebo SHA1) a porovná sa s hašovanou verziou uloženou v databáze systému. Ak sa hash zhoduje, stanete sa overeným. Ale pri útoku hash útočník zachytí hash hesla počas autentifikácie a znova ho použije na autentifikáciu bez toho, aby poznal heslo vo formáte obyčajného textu.
Ako zabrániť otrave LLMNR?
LLMNR Poisoning môže byť populárny kybernetický útok, čo tiež znamená, že existujú testované a dôveryhodné opatrenia na jeho zmiernenie a zabezpečenie vás a vašich aktív. Niektoré z týchto opatrení zahŕňajú používanie brán firewall, viacfaktorové overovanie, IPSec, silné heslá a úplné zakázanie LLMNR.
1. Zakázať LLMNR
Najlepším spôsobom, ako sa vyhnúť útoku otravy LLMNR, je vypnúť protokol LLMNR vo vašej sieti. Ak službu nepoužívate, nie je potrebné ďalšie bezpečnostné riziko.
Ak takúto funkcionalitu potrebujete, lepšou a bezpečnejšou alternatívou je protokol Domain Name System (DNS).
2. Vyžadovať riadenie prístupu k sieti
Kontrola prístupu k sieti zabraňuje útokom otravy LLMNR presadzovaním prísnych bezpečnostných politík a opatrení na kontrolu prístupu na všetkých sieťových zariadeniach. Dokáže odhaliť a blokovať neoprávnené zariadenia v prístupe k sieti a poskytovať monitorovanie a upozornenia v reálnom čase
Kontrola prístupu k sieti môže tiež zabrániť útokom otravy LLMNR presadzovanie segmentácie siete, ktorý obmedzuje útočnú plochu siete a obmedzuje neoprávnený prístup k citlivým údajom alebo kritickým systémom.
3. Implementujte segmentáciu siete
Rozsah útokov LLMNR Poisoning môžete obmedziť pomocou rozdelením siete na menšie podsiete. Dá sa to dosiahnuť pomocou VLAN, firewallov a iných sieťových bezpečnostných opatrení.
4. Používajte silné heslá
V prípade, že dôjde k útoku otravy LLMNR, je vhodné použiť silné heslá, ktoré sa nedajú ľahko prelomiť. Slabé heslá, ako napríklad heslá založené na vašom mene alebo postupnosti čísel, sa dajú ľahko uhádnuť alebo už existujú v tabuľke slovníka alebo v zozname hesiel.
Zachovajte silnú bezpečnostnú pozíciu
Udržiavanie dobrého stavu zabezpečenia je kritickým aspektom ochrany vašich systémov a údajov pred kybernetickými hrozbami, ako je otrava LLMNR. Vyžaduje si to kombináciu proaktívnych opatrení, ako je implementácia silných hesiel, pravidelná aktualizácia softvéru a systémov a vzdelávanie zamestnancov o osvedčených postupoch zabezpečenia.
Neustálym vyhodnocovaním a zlepšovaním bezpečnostných opatrení si vaša organizácia môže udržať náskok pred narušeniami a hrozbami a chrániť váš majetok pred útokmi.