De Windows-pc'er, der er tilsluttet dit lokale netværk, kan være sårbare. Skal du sikre din LLMNR-brug eller undvære funktionen helt?
Windows Active Directory er en tjeneste skabt af Microsoft, som stadig bruges i dag i adskillige organisationer rundt om i verden. Den forbinder og gemmer information om flere enheder og tjenester på det samme netværk sammen. Men hvis en virksomheds Active Directory ikke er korrekt og sikkert konfigureret, kan det føre til en række sårbarheder og angreb.
Et af de mere populære Active Directory-angreb er LLMNR-forgiftningsangrebet. Hvis det lykkes, kan et LLMNR-forgiftningsangreb give en hacker-administratoradgang og privilegier til Active Directory-tjenesten.
Læs videre for at finde ud af, hvordan LLMNR-forgiftningsangrebet virker, og hvordan du forhindrer det i at ske dig.
Hvad er LLMNR?
LLMNR står for Link-Local Multicast Name Resolution. Det er en navneløsningstjeneste eller -protokol, der bruges på Windows til at løse IP-adressen på en vært på det samme lokale netværk, når DNS-serveren ikke er tilgængelig.
LLMNR fungerer ved at sende en forespørgsel til alle enheder på tværs af et netværk, der anmoder om et specifikt værtsnavn. Den gør dette ved hjælp af en Name Resolution Request (NRR)-pakke, som den udsender til alle enheder på det netværk. Hvis der er en enhed med det værtsnavn, vil den svare med en Name Resolution Response (NRP)-pakke indeholdende dens IP-adresse og etablere en forbindelse med den anmodende enhed.
Desværre er LLMNR langt fra at være en sikker metode til løsning af værtsnavne. Dens største svaghed er, at den bruger ens brugernavn sammen med den tilsvarende adgangskode, når den kommunikerer.
Hvad er LLMNR-forgiftning?
LLMNR-forgiftning er en type mand-i-midten-angreb, der udnytter LLMNR-protokollen (Link-Local Multicast Name Resolution) i Windows-systemer. I LLMNR Poisoning lytter en angriber og venter på at opsnappe en anmodning fra målet. Hvis det lykkes, kan denne person derefter sende et ondsindet LLMNR-svar til en målcomputer og narre den ind sende følsomme oplysninger (brugernavn og adgangskode hash) til dem i stedet for det tilsigtede netværk ressource. Dette angreb kan bruges til at stjæle legitimationsoplysninger, udføre netværksrekognoscering eller iværksætte yderligere angreb på målsystemet eller netværket.
Hvordan virker LLMNR-forgiftning?
I de fleste tilfælde opnås LLMNR ved hjælp af et værktøj kaldet Responder. Det er et populært open source-script, der normalt er skrevet i python og bruges til LLMNR-, NBT-NS- og MDNS-forgiftning. Det opsætter flere servere som SMB, LDAP, Auth, WDAP osv. Når det køres på et netværk, lytter Responder-scriptet til LLMNR-forespørgsler lavet af andre enheder på det netværk og udfører man-in-the-middle-angreb på dem. Værktøjet kan bruges til at registrere godkendelsesoplysninger, få adgang til systemer og udføre andre ondsindede aktiviteter.
Når en angriber udfører responder-scriptet, lytter scriptet stille efter hændelser og LLMNR-forespørgsler. Når en opstår, sender den forgiftede reaktioner til dem. Hvis disse spoofing-angreb lykkes, viser responderen målets brugernavn og adgangskode-hash.
Angriberen kan derefter forsøge at knække adgangskodehashen ved hjælp af forskellige adgangskodeknækningsværktøjer. Adgangskode-hashen er normalt en NTLMv1-hash. Hvis målets adgangskode er svagt, ville det blive brutalt tvunget og knækket på kort eller ingen tid. Og når dette sker, ville angriberen være i stand til at logge ind på brugerens konto, efterligne offer, installere malware eller udføre andre aktiviteter såsom netværksrekognoscering og data eksfiltration.
Bestå Hash-angrebene
Det skræmmende ved dette angreb er, at nogle gange behøver password-hashen ikke at blive knækket. Selve hashen kan bruges i et pas hash-angrebet. Et pass the hash-angreb er et, hvor cyberkriminelle bruger den uknakkede password-hash til at få adgang til brugerens konto og autentificere sig selv.
I en normal godkendelsesproces indtaster du din adgangskode i almindelig tekst. Adgangskoden hashes derefter med en kryptografisk algoritme (såsom MD5 eller SHA1) og sammenlignes med den hashed-version, der er gemt i systemets database. Hvis hasherne matcher, bliver du autentificeret. Men i en pass-hash-angrebet opsnapper angriberen adgangskode-hashen under godkendelse og genbruger den til at godkende uden at kende den almindelige tekstadgangskode.
Hvordan forebygger man LLMNR-forgiftning?
LLMNR-forgiftning kan være et populært cyberangreb, dette betyder også, at der er testede og pålidelige foranstaltninger til at afbøde det og sikre dig og dine aktiver. Nogle af disse foranstaltninger omfatter brugen af firewalls, multifaktorgodkendelse, IPSec, stærke adgangskoder og fuldstændig deaktivering af LLMNR.
1. Deaktiver LLMNR
Den bedste måde at undgå, at et LLMNR-forgiftningsangreb sker med dig, er at deaktivere LLMNR-protokollen på dit netværk. Hvis du ikke bruger tjenesten, er der ingen grund til at have den ekstra sikkerhedsrisiko.
Hvis du har brug for en sådan funktionalitet, er det bedre og mere sikre alternativ Domain Name System (DNS) protokollen.
2. Kræv netværksadgangskontrol
Netværksadgangskontrol forhindrer LLMNR-forgiftningsangreb ved at håndhæve stærke sikkerhedspolitikker og adgangskontrolforanstaltninger på alle netværksenheder. Det kan detektere og blokere uautoriserede enheder fra at få adgang til netværket og give overvågning og advarsler i realtid
Netværksadgangskontrol kan også forhindre LLMNR-forgiftningsangreb af håndhæve netværkssegmentering, som begrænser netværkets angrebsoverflade og begrænser uautoriseret adgang til følsomme data eller kritiske systemer.
3. Implementer netværkssegmentering
Du kan begrænse omfanget af LLMNR-forgiftningsangreb ved opdeling af dit netværk i mindre undernet. Dette kan gøres ved brug af VLAN'er, firewalls og andre netværkssikkerhedsforanstaltninger.
4. Brug stærke adgangskoder
I tilfælde af at et LLMNR-forgiftningsangreb finder sted, er det tilrådeligt at bruge stærke adgangskoder, som ikke let kan knækkes. Svage adgangskoder, såsom dem, der er baseret på dit navn eller en talrække, kan let gættes eller findes allerede i en ordbogstabel eller en adgangskodeliste.
Oprethold en stærk sikkerhedsstilling
At opretholde en god sikkerhedsposition er et kritisk aspekt af at beskytte dine systemer og data mod cybertrusler som LLMNR-forgiftning. At gøre det kræver en kombination af proaktive foranstaltninger, såsom implementering af stærke adgangskoder, regelmæssig opdatering af software og systemer og uddannelse af medarbejdere i bedste praksis for sikkerhed.
Ved løbende at vurdere og forbedre sikkerhedsforanstaltningerne kan din organisation være på forkant med brud og trusler og beskytte dine aktiver mod angreb.
