Vietējam tīklam pievienotie Windows datori var būt neaizsargāti. Vai jums vajadzētu nodrošināt savu LLMNR lietošanu vai pilnībā iztikt bez šīs funkcijas?
Windows Active Directory ir Microsoft izveidots pakalpojums, kas joprojām tiek izmantots daudzās organizācijās visā pasaulē. Tas kopā savieno un saglabā informāciju par vairākām ierīcēm un pakalpojumiem vienā tīklā. Bet, ja uzņēmuma Active Directory nav pareizi un droši konfigurēts, tas var izraisīt virkni ievainojamību un uzbrukumu.
Viens no populārākajiem Active Directory uzbrukumiem ir LLMNR saindēšanās uzbrukums. Ja tas ir veiksmīgs, LLMNR saindēšanās uzbrukums var piešķirt hakeram administratora piekļuvi un privilēģijas Active Directory pakalpojumam.
Lasiet tālāk, lai uzzinātu, kā darbojas LLMNR saindēšanās uzbrukums un kā novērst tā rašanos.
Kas ir LLMNR?
LLMNR apzīmē Link-Local Multicast Name Resolution. Tas ir nosaukumu izšķiršanas pakalpojums vai protokols, ko izmanto sistēmā Windows, lai atrisinātu resursdatora IP adresi tajā pašā lokālajā tīklā, ja DNS serveris nav pieejams.
LLMNR darbojas, nosūtot vaicājumu uz visām ierīcēm tīklā, pieprasot konkrētu saimniekdatora nosaukumu. Tas tiek darīts, izmantojot Name Resolution Request (NRR) paketi, ko tā pārraida uz visām šī tīkla ierīcēm. Ja ir ierīce ar šādu resursdatora nosaukumu, tā atbildēs ar Name Resolution Response (NRP) paketi, kas satur tās IP adresi, un izveidos savienojumu ar pieprasītāju ierīci.
Diemžēl LLMNR nebūt nav drošs saimniekdatora nosaukuma izšķiršanas veids. Tās galvenais trūkums ir tas, ka saziņas laikā tā izmanto lietotāja lietotājvārdu līdzās atbilstošajai parolei.
Kas ir LLMNR saindēšanās?
LLMNR saindēšanās ir uzbrukuma veids, kurā tiek izmantots LLMNR (Link-Local Multicast Name Resolution) protokols Windows sistēmās. LLMNR saindēšanās gadījumā uzbrucējs klausās un gaida, lai pārtvertu mērķa pieprasījumu. Ja tas izdodas, šī persona var nosūtīt ļaunprātīgu LLMNR atbildi uz mērķa datoru, iemānējot to sensitīvas informācijas (lietotājvārda un paroles jaucējkoda) nosūtīšana tiem paredzētā tīkla vietā resursu. Šo uzbrukumu var izmantot, lai nozagtu akreditācijas datus, veiktu tīkla izlūkošanu vai veiktu turpmākus uzbrukumus mērķa sistēmai vai tīklam.
Kā darbojas LLMNR saindēšanās?
Vairumā gadījumu LLMNR tiek sasniegts, izmantojot rīku Responder. Tas ir populārs atvērtā pirmkoda skripts, kas parasti tiek rakstīts python un tiek izmantots LLMNR, NBT-NS un MDNS saindēšanai. Tas iestata vairākus serverus, piemēram, SMB, LDAP, Auth, WDAP utt. Palaižot tīklā, atbildētāja skripts klausās LLMNR vaicājumus, ko veic citas šajā tīklā esošās ierīces, un veic tām uzbrukumus. Šo rīku var izmantot, lai iegūtu autentifikācijas akreditācijas datus, piekļūtu sistēmām un veiktu citas ļaunprātīgas darbības.
Kad uzbrucējs izpilda atbildētāja skriptu, skripts klusi noklausās notikumus un LLMNR vaicājumus. Kad tas notiek, tas viņiem nosūta saindētas atbildes. Ja šie viltošanas uzbrukumi ir veiksmīgi, atbildētājs parāda mērķa lietotājvārda un paroles jaucējkodu.
Pēc tam uzbrucējs var mēģināt uzlauzt paroles jaucējkodu, izmantojot dažādus paroļu uzlaušanas rīkus. Paroles hash parasti ir NTLMv1 hash. Ja mērķa parole ir vāja, tā tiks piespiesta un uzlauzta īsā laikā. Un, kad tas notiks, uzbrucējs varēs pieteikties lietotāja kontā, uzdoties par upuri, instalējiet ļaunprātīgu programmatūru vai veiciet citas darbības, piemēram, tīkla izlūkošanu un datus eksfiltrācija.
Izturēt Hash Attacks
Šajā uzbrukumā biedējošākais ir tas, ka dažreiz paroles jaucējkods nav jāuzlauž. Pats jaucējvārds var tikt izmantots, lai pārvarētu hash uzbrukumu. Jaukšanas uzbrukums ir uzbrukums, kurā kibernoziedznieks izmanto neuzlauztu paroles jaucējkodu, lai piekļūtu lietotāja kontam un autentificētos.
Parastā autentifikācijas procesā parole ir jāievada vienkāršā tekstā. Pēc tam parole tiek sajaukta ar kriptogrāfisku algoritmu (piemēram, MD5 vai SHA1) un salīdzināta ar jaukto versiju, kas saglabāta sistēmas datu bāzē. Ja jaucējvērtības sakrīt, jūs kļūstat autentificēts. Bet jaukšanas uzbrukuma laikā uzbrucējs autentifikācijas laikā pārtver paroles jaucējkodu un atkārtoti izmanto to, lai autentificētos, nezinot vienkāršā teksta paroli.
Kā novērst LLMNR saindēšanos?
LLMNR saindēšanās var būt populārs kiberuzbrukums, un tas nozīmē arī to, ka ir pārbaudīti un uzticami pasākumi, lai to mazinātu un aizsargātu jūs un jūsu īpašumus. Daži no šiem pasākumiem ietver ugunsmūru izmantošanu, daudzfaktoru autentifikāciju, IPSec, spēcīgas paroles un pilnīgu LLMNR atspējošanu.
1. Atspējot LLMNR
Labākais veids, kā izvairīties no LLMNR saindēšanās uzbrukuma, ir atspējot LLMNR protokolu savā tīklā. Ja neizmantojat pakalpojumu, nav nepieciešams papildu drošības risks.
Ja jums ir nepieciešama šāda funkcionalitāte, labāka un drošāka alternatīva ir domēna nosaukumu sistēmas (DNS) protokols.
2. Nepieciešama tīkla piekļuves kontrole
Tīkla piekļuves kontrole novērš LLMNR saindēšanās uzbrukumus, visās tīkla ierīcēs ieviešot stingras drošības politikas un piekļuves kontroles pasākumus. Tas var atklāt un bloķēt nesankcionētu ierīču piekļuvi tīklam un nodrošināt reāllaika uzraudzību un brīdinājumus
Tīkla piekļuves kontrole var arī novērst LLMNR saindēšanās uzbrukumus tīkla segmentācijas nodrošināšana, kas ierobežo tīkla uzbrukuma virsmu un ierobežo nesankcionētu piekļuvi sensitīviem datiem vai kritiskām sistēmām.
3. Ieviest tīkla segmentāciju
Jūs varat ierobežot LLMNR saindēšanās uzbrukumu apjomu, izmantojot sadalot tīklu mazākos apakštīklos. To var izdarīt, izmantojot VLAN, ugunsmūrus un citus tīkla drošības pasākumus.
4. Izmantojiet spēcīgas paroles
Gadījumā, ja notiek LLMNR saindēšanās uzbrukums, ieteicams izmantot spēcīgas paroles, kuras nav viegli uzlauzt. Vājas paroles, piemēram, tās, kuru pamatā ir jūsu vārds vai ciparu virkne, var viegli uzminēt vai tās jau ir atrodamas vārdnīcas tabulā vai paroļu sarakstā.
Saglabājiet stingru drošības stāju
Labas drošības pozas uzturēšana ir būtisks aspekts, lai aizsargātu sistēmas un datus pret kiberdraudiem, piemēram, LLMNR saindēšanos. Lai to izdarītu, ir jāveic proaktīvu pasākumu kombinācija, piemēram, spēcīgu paroļu ieviešana, programmatūras un sistēmu regulāra atjaunināšana un darbinieku izglītošana par drošības paraugpraksi.
Nepārtraukti novērtējot un uzlabojot drošības pasākumus, jūsu organizācija var izvairīties no pārkāpumiem un draudiem un aizsargāt jūsu īpašumus no uzbrukumiem.
