Teie kohaliku võrguga ühendatud Windowsi arvutid võivad olla haavatavad. Kas peaksite oma LLMNR-i kasutamise kindlustama või tegema selle funktsiooni täielikult ilma?
Windows Active Directory on Microsofti loodud teenus, mida kasutatakse tänapäevalgi paljudes organisatsioonides üle maailma. See ühendab ja salvestab teavet samasse võrku mitme seadme ja teenuse kohta. Kuid kui ettevõtte Active Directory pole õigesti ja turvaliselt konfigureeritud, võib see kaasa tuua haavatavusi ja ründeid.
Üks populaarsemaid Active Directory rünnakuid on LLMNR-i mürgistusrünnak. Edu korral võib LLMNR-i mürgistusrünnak anda häkkeri administraatorile juurdepääsu ja õigused Active Directory teenusele.
Lugege edasi, et teada saada, kuidas LLMNR-i mürgistusrünnak toimib ja kuidas seda teiega vältida.
Mis on LLMNR?
LLMNR tähistab Link-Local Multicast Name Resolution. See on nimelahendusteenus või -protokoll, mida kasutatakse Windowsis, et lahendada samas kohalikus võrgus oleva hosti IP-aadress, kui DNS-server pole saadaval.
LLMNR toimib nii, et saadab päringu kõikidesse võrgus olevatesse seadmetesse, taotledes konkreetset hostinime. See teeb seda nime resolutsiooni taotluse (NRR) paketi abil, mida see edastab kõigile selle võrgu seadmetele. Kui selle hostinimega seade on olemas, vastab see IP-aadressi sisaldava Name Resolution Response (NRP) paketiga ja loob ühenduse taotleva seadmega.
Kahjuks pole LLMNR kaugeltki turvaline hostinime lahendamise viis. Selle peamiseks nõrkuseks on see, et ta kasutab suhtlemisel koos vastava parooliga ka kasutajanime.
Mis on LLMNR-i mürgistus?
LLMNR-i mürgistus on teatud tüüpi rünnak, mis kasutab Windowsi süsteemides LLMNR-i (Link-Local Multicast Name Resolution) protokolli. LLMNR-i mürgistuse korral kuulab ründaja ja ootab, et sihtmärgi päring kinni pidada. Kui see õnnestub, saab see inimene saata sihtarvutisse pahatahtliku LLMNR-vastuse, pettes selle sisse tundliku teabe (kasutajanime ja parooli räsi) saatmine neile ettenähtud võrgu asemel ressurss. Seda rünnet saab kasutada mandaatide varastamiseks, võrguga tutvumiseks või sihtsüsteemi või võrgu vastu edasiste rünnakute käivitamiseks.
Kuidas LLMNR-i mürgistus töötab?
Enamikul juhtudel saavutatakse LLMNR-i kasutades tööriista nimega Responder. See on populaarne avatud lähtekoodiga skript, mis on tavaliselt kirjutatud pythonis ja mida kasutatakse LLMNR-i, NBT-NS-i ja MDNS-i mürgitamiseks. See seadistab mitu serverit, nagu SMB, LDAP, Auth, WDAP jne. Võrgus töötades kuulab vastaja skript LLMNR-päringuid, mille on teinud selles võrgus olevad teised seadmed, ja sooritab neile rünnakuid. Tööriista saab kasutada autentimismandaatide hõivamiseks, süsteemidele juurdepääsu saamiseks ja muude pahatahtlike toimingute tegemiseks.
Kui ründaja käivitab vastaja skripti, kuulab skript vaikselt sündmusi ja LLMNR-i päringuid. Kui see juhtub, saadab see neile mürgitatud vastused. Kui need võltsimisrünnakud on edukad, kuvab vastaja sihtmärgi kasutajanime ja parooli räsi.
Seejärel saab ründaja proovida parooliräsi murda, kasutades erinevaid paroolimurdmise tööriistu. Parooliräsi on tavaliselt NTLMv1 räsi. Kui sihtmärgi parool on nõrk, sunnitaks see julmalt peale ja murtakse see kiiresti üles. Ja kui see juhtub, saab ründaja kasutaja kontole sisse logida ja esineda ohver, installida pahavara või teha muid toiminguid, nagu võrguluure ja andmed eksfiltratsioon.
Mööduge räsirünnakutest
Selle rünnaku puhul on hirmutav see, et mõnikord ei pea parooliräsi murdma. Räsi ennast saab kasutada räsirünnaku läbimiseks. Räsi rünnak on selline, kus küberkurjategija kasutab murdmata parooliräsi, et pääseda ligi kasutaja kontole ja end autentida.
Tavalises autentimisprotsessis sisestate oma parooli lihttekstina. Seejärel räsitakse parool krüptoalgoritmiga (nt MD5 või SHA1) ja võrreldakse süsteemi andmebaasi salvestatud räsiversiooniga. Kui räsid ühtivad, muutute autentseks. Kuid räsirünnaku läbimisel peatab ründaja autentimise ajal parooliräsi ja kasutab seda uuesti autentimiseks, teadmata lihtteksti parooli.
Kuidas vältida LLMNR-i mürgistust?
LLMNR-i mürgistus võib olla populaarne küberrünnak, mis tähendab ka seda, et selle leevendamiseks ning teie ja teie varade kaitsmiseks on olemas testitud ja usaldusväärsed meetmed. Mõned neist meetmetest hõlmavad tulemüüride, mitmefaktorilise autentimise, IPSec-i, tugevate paroolide kasutamist ja LLMNR-i täielikku keelamist.
1. Keela LLMNR
Parim viis LLMNR-i mürgistusrünnaku vältimiseks on oma võrgus LLMNR-protokoll keelata. Kui te teenust ei kasuta, pole täiendavat turvariski vaja.
Kui teil on sellist funktsiooni vaja, on parem ja turvalisem alternatiiv domeeninimesüsteemi (DNS) protokoll.
2. Nõua võrgu juurdepääsu juhtimist
Võrgujuurdepääsu kontroll hoiab ära LLMNR-i mürgistusrünnakud, rakendades kõigis võrguseadmetes tugevaid turbepoliitikaid ja juurdepääsukontrolli meetmeid. See suudab tuvastada ja blokeerida volitamata seadmete juurdepääsu võrgule ning pakkuda reaalajas jälgimist ja hoiatusi
Võrgujuurdepääsu kontroll võib ära hoida ka LLMNR-i mürgistusrünnakuid võrgu segmenteerimise jõustamine, mis piirab võrgu rünnakupinda ja piirab volitamata juurdepääsu tundlikele andmetele või kriitilistele süsteemidele.
3. Rakendage võrgu segmenteerimist
Saate piirata LLMNR-i mürgistusrünnakute ulatust võrgu jagamine väiksemateks alamvõrkudeks. Seda saab teha VLAN-ide, tulemüüride ja muude võrgu turvameetmete abil.
4. Kasutage tugevaid paroole
Juhul, kui toimub LLMNR-i mürgistusrünnak, on soovitatav kasutada tugevaid paroole, mida ei saa kergesti lahti murda. Nõrgad paroolid, näiteks need, mis põhinevad teie nimel või numbrijadadel, on kergesti äraarvatavad või need on sõnastiku tabelis või parooliloendis juba olemas.
Säilitage tugev turvaasend
Hea turvaasendi säilitamine on teie süsteemide ja andmete kaitsmisel küberohtude eest, nagu LLMNR mürgistus, kriitiline aspekt. Selleks on vaja kombineerida ennetavaid meetmeid, nagu tugevate paroolide rakendamine, tarkvara ja süsteemide korrapärane värskendamine ning töötajate koolitamine turvalisuse parimate tavade osas.
Turvameetmeid pidevalt hinnates ja täiustades saab teie organisatsioon rikkumistest ja ohtudest ees hoida ning kaitsta teie vara rünnakute eest.