Компютрите с Windows, свързани към вашата локална мрежа, може да са уязвими. Трябва ли да защитите използването на LLMNR или да се откажете изцяло от функцията?
Windows Active Directory е услуга, създадена от Microsoft, която все още се използва днес в много организации по света. Той свързва и съхранява информация за множество устройства и услуги в една и съща мрежа заедно. Но ако Active Directory на компанията не е правилно и сигурно конфигуриран, това може да доведе до поредица от уязвимости и атаки.
Една от най-популярните атаки на Active Directory е LLMNR Poisoning атака. Ако е успешна, атака с отравяне на LLMNR може да даде на хакер администраторски достъп и привилегии до услугата Active Directory.
Прочетете, за да разберете как действа атаката с отравяне с LLMNR и как да предотвратите това да ви се случи.
Какво е LLMNR?
LLMNR означава Link-Local Multicast Name Resolution. Това е услуга за разрешаване на имена или протокол, използван в Windows за разрешаване на IP адреса на хост в същата локална мрежа, когато DNS сървърът не е наличен.
LLMNR работи, като изпраща заявка до всички устройства в мрежата с искане за конкретно име на хост. Той прави това с помощта на пакет с искане за разрешаване на имена (NRR), който излъчва към всички устройства в тази мрежа. Ако има устройство с това име на хост, то ще отговори с пакет с отговор за разрешаване на име (NRP), съдържащ неговия IP адрес, и ще установи връзка с искащото устройство.
За съжаление, LLMNR далеч не е сигурен режим за разрешаване на имена на хостове. Основната му слабост е, че използва нечие потребителско име заедно със съответната парола при комуникация.
Какво е отравяне с LLMNR?
Отравянето с LLMNR е вид атака от типа "човек по средата", която използва протокола LLMNR (разрешаване на имена на локално групово предаване) в Windows системи. При отравяне на LLMNR нападателят слуша и чака да прихване заявка от целта. Ако успее, този човек може да изпрати злонамерен LLMNR отговор до целевия компютър, като го подмами изпращане на чувствителна информация (потребителско име и хеш парола) към тях вместо предвидената мрежа ресурс. Тази атака може да се използва за кражба на идентификационни данни, извършване на мрежово разузнаване или стартиране на допълнителни атаки срещу целевата система или мрежа.
Как действа отравянето с LLMNR?
В повечето случаи LLMNR се постига с помощта на инструмент, наречен Responder. Това е популярен скрипт с отворен код, обикновено написан на python и използван за отравяне с LLMNR, NBT-NS и MDNS. Той настройва множество сървъри като SMB, LDAP, Auth, WDAP и др. Когато се изпълнява в мрежа, скриптът Responder прослушва LLMNR заявки, направени от други устройства в тази мрежа, и извършва атаки тип човек по средата към тях. Инструментът може да се използва за улавяне на идентификационни данни за удостоверяване, получаване на достъп до системи и извършване на други злонамерени дейности.
Когато нападател изпълни скрипта за отговор, скриптът слуша тихо за събития и LLMNR заявки. Когато такъв се появи, той им изпраща отровни отговори. Ако тези фалшиви атаки са успешни, отговорът показва потребителското име и хеша на паролата на целта.
След това нападателят може да се опита да разбие хеша на паролата с помощта на различни инструменти за разбиване на пароли. Хешът на паролата обикновено е NTLMv1 хеш. Ако паролата на целта е слаба, тя ще бъде грубо форсирана и кракната за малко или никакво време. И когато това се случи, нападателят ще може да влезе в акаунта на потребителя, да се представя за жертва, инсталира зловреден софтуер или извършва други дейности като разузнаване на мрежа и данни ексфилтрация.
Преминете хеш атаките
Страшното при тази атака е, че понякога хешът на паролата не трябва да бъде разбит. Самият хеш може да се използва при преминаване на хеш атака. Преминаване на хеш атаката е тази, при която киберпрестъпникът използва неразбитата хеш парола, за да получи достъп до акаунта на потребителя и да се удостовери.
При нормален процес на удостоверяване въвеждате паролата си в обикновен текст. След това паролата се хешира с криптографски алгоритъм (като MD5 или SHA1) и се сравнява с хешираната версия, съхранена в базата данни на системата. Ако хешовете съвпадат, вие се удостоверявате. Но при преминаване на хеш атаката атакуващият прихваща хеша на паролата по време на удостоверяване и го използва повторно за удостоверяване, без да знае паролата с обикновен текст.
Как да предотвратим отравяне с LLMNR?
Отравянето с LLMNR може да е популярна кибератака, това също означава, че има тествани и надеждни мерки за нейното смекчаване и защита на вас и вашите активи. Някои от тези мерки включват използването на защитни стени, многофакторно удостоверяване, IPSec, силни пароли и пълно деактивиране на LLMNR.
1. Деактивирайте LLMNR
Най-добрият начин да избегнете атака с отравяне с LLMNR да ви се случи е да деактивирате протокола LLMNR във вашата мрежа. Ако не използвате услугата, няма нужда да имате допълнителен риск за сигурността.
Ако се нуждаете от такава функционалност, по-добрата и по-сигурна алтернатива е протоколът на системата за имена на домейни (DNS).
2. Изискване на контрол на достъпа до мрежата
Контролът на достъпа до мрежата предотвратява атаки с отравяне на LLMNR чрез налагане на силни политики за сигурност и мерки за контрол на достъпа на всички мрежови устройства. Той може да открие и блокира достъпа на неоторизирани устройства до мрежата и да осигури мониторинг и предупреждения в реално време
Контролът на достъпа до мрежата може също да предотврати атаки с отравяне на LLMNR чрез налагане на сегментиране на мрежата, което ограничава повърхността за атака на мрежата и ограничава неоторизиран достъп до чувствителни данни или критични системи.
3. Прилагане на мрежово сегментиране
Можете да ограничите обхвата на атаките с отравяне на LLMNR чрез разделяне на вашата мрежа на по-малки подмрежи. Това може да стане чрез използването на VLAN, защитни стени и други мерки за сигурност на мрежата.
4. Използвайте силни пароли
В случай на атака с отравяне на LLMNR, препоръчително е да използвате силни пароли, които не могат лесно да бъдат разбити. Слабите пароли, като тези, базирани на вашето име или поредица от числа, могат лесно да бъдат отгатнати или вече съществуват в речникова таблица или списък с пароли.
Поддържайте стабилна позиция за сигурност
Поддържането на добра позиция за сигурност е критичен аспект от защитата на вашите системи и данни срещу киберзаплахи като отравяне с LLMNR. Това изисква комбинация от проактивни мерки, като внедряване на силни пароли, редовно актуализиране на софтуер и системи и обучение на служителите относно най-добрите практики за сигурност.
Чрез непрекъснато оценяване и подобряване на мерките за сигурност, вашата организация може да изпревари пробиви и заплахи и да защити вашите активи от атаки.
