Windows računala povezana na vašu lokalnu mrežu mogu biti ranjiva. Trebate li osigurati svoju upotrebu LLMNR-a ili u potpunosti ostati bez te značajke?
Windows Active Directory je usluga koju je stvorio Microsoft i koja se i danas koristi u brojnim organizacijama diljem svijeta. Povezuje i pohranjuje informacije o više uređaja i usluga na istoj mreži. Ali ako Active Directory tvrtke nije ispravno i sigurno konfiguriran, to bi moglo dovesti do niza ranjivosti i napada.
Jedan od popularnijih napada na Active Directory je LLMNR Poisoning napad. Ako je uspješan, napad trovanjem LLMNR-om može hakeru dati administratorski pristup i privilegije usluzi Active Directory.
Čitajte dalje kako biste otkrili kako djeluje napad trovanja LLMNR-om i kako spriječiti da vam se dogodi.
Što je LLMNR?
LLMNR je kratica za Link-Local Multicast Name Resolution. To je usluga razlučivanja naziva ili protokol koji se koristi u sustavu Windows za rješavanje IP adrese glavnog računala na istoj lokalnoj mreži kada DNS poslužitelj nije dostupan.
LLMNR radi slanjem upita svim uređajima na mreži tražeći određeni naziv glavnog računala. To čini pomoću paketa Name Resolution Request (NRR) koji emitira svim uređajima na toj mreži. Ako postoji uređaj s tim nazivom glavnog računala, on će odgovoriti s paketom odgovora razlučivanja imena (NRP) koji sadrži njegovu IP adresu i uspostaviti vezu s uređajem koji zahtijeva.
Nažalost, LLMNR je daleko od sigurnog načina razlučivanja imena računala. Njegova glavna slabost je što koristi nečije korisničko ime uz odgovarajuću lozinku prilikom komunikacije.
Što je trovanje LLMNR-om?
Trovanje LLMNR-om vrsta je napada čovjeka u sredini koji iskorištava LLMNR (Link-Local Multicast Name Resolution) protokol u Windows sustavima. U LLMNR Poisoningu, napadač sluša i čeka da presretne zahtjev od mete. Ako uspije, ta osoba tada može poslati zlonamjerni LLMNR odgovor ciljanom računalu, navodeći ga na prijevaru slanje osjetljivih informacija (korisničko ime i hash zaporke) njima umjesto namjeravanoj mreži resurs. Ovaj se napad može koristiti za krađu vjerodajnica, izvođenje mrežnog izviđanja ili pokretanje daljnjih napada na ciljni sustav ili mrežu.
Kako djeluje trovanje LLMNR-om?
U većini slučajeva LLMNR se postiže pomoću alata koji se zove Responder. To je popularna skripta otvorenog koda koja se obično piše u pythonu i koristi se za trovanje LLMNR, NBT-NS i MDNS. Postavlja više poslužitelja kao što su SMB, LDAP, Auth, WDAP itd. Kada se izvodi na mreži, skripta Responder sluša LLMNR upite drugih uređaja na toj mreži i na njih izvodi napade čovjeka u sredini. Alat se može koristiti za snimanje vjerodajnica za provjeru autentičnosti, dobivanje pristupa sustavima i izvođenje drugih zlonamjernih aktivnosti.
Kada napadač izvrši skriptu odgovora, skripta tiho osluškuje događaje i LLMNR upite. Kada se jedan pojavi, šalje im otrovne odgovore. Ako su ti lažni napadi uspješni, odgovarač prikazuje ciljano korisničko ime i hash zaporke.
Napadač zatim može pokušati razbiti hash zaporke pomoću različitih alata za probijanje zaporki. Hash zaporke obično je NTLMv1 hash. Ako je ciljna lozinka slaba, bit će brutalno forsirana i probijena u vrlo kratkom vremenu. A kada se to dogodi, napadač bi se mogao prijaviti na korisnički račun, lažno predstavljati žrtva, instalirati zlonamjerni softver ili obavljati druge aktivnosti poput izviđanja mreže i podataka eksfiltracija.
Prođite Hash Attacks
Zastrašujuća stvar u vezi s ovim napadom je da ponekad hash zaporke nije potrebno probiti. Sam hash se može koristiti u napadu hashom. Pass the hash napad je onaj u kojem kibernetički kriminalac koristi nerazbijenu hash lozinku za pristup korisničkom računu i autentifikaciju.
U normalnom postupku provjere autentičnosti svoju lozinku unosite u obliku običnog teksta. Lozinka se zatim hashira kriptografskim algoritmom (kao što je MD5 ili SHA1) i uspoređuje s hashiranom verzijom pohranjenom u bazi podataka sustava. Ako se hashovi podudaraju, postajete autentificirani. Ali, u napadu hashom, napadač presreće hash zaporke tijekom autentifikacije i ponovno ga koristi za autentifikaciju bez poznavanja lozinke u običnom tekstu.
Kako spriječiti trovanje LLMNR-om?
Trovanje LLMNR-om može biti popularan kibernetički napad, što također znači da postoje testirane i pouzdane mjere za njegovo ublažavanje i zaštitu vas i vaše imovine. Neke od tih mjera uključuju upotrebu vatrozida, multifaktorsku autentifikaciju, IPSec, jake lozinke i potpuno onemogućavanje LLMNR-a.
1. Onemogući LLMNR
Najbolji način da izbjegnete napad trovanjem LLMNR-om jest da onemogućite LLMNR protokol na svojoj mreži. Ako ne koristite uslugu, nema potrebe za dodatnim sigurnosnim rizikom.
Ako trebate takvu funkcionalnost, bolja i sigurnija alternativa je protokol Domain Name System (DNS).
2. Zahtijeva kontrolu pristupa mreži
Kontrola pristupa mreži sprječava napade trovanja LLMNR-a provođenjem jakih sigurnosnih pravila i mjera kontrole pristupa na svim mrežnim uređajima. Može otkriti i blokirati pristup neovlaštenim uređajima mreži te omogućiti nadzor i upozorenja u stvarnom vremenu
Kontrola pristupa mreži također može spriječiti napade trovanja LLMNR-om provođenje segmentacije mreže, koji ograničava površinu napada mreže i ograničava neovlašteni pristup osjetljivim podacima ili kritičnim sustavima.
3. Implementirajte mrežnu segmentaciju
Opseg napada trovanjem LLMNR-a možete ograničiti na dijeljenje mreže na manje podmreže. To se može učiniti korištenjem VLAN-ova, vatrozida i drugih sigurnosnih mjera mreže.
4. Koristite jake lozinke
U slučaju da se dogodi napad trovanjem LLMNR-a, preporučljivo je koristiti jake lozinke koje se ne mogu lako probiti. Slabe lozinke, poput onih temeljenih na vašem imenu ili nizu brojeva, mogu se lako pogoditi ili već postoje u tablici rječnika ili na popisu lozinki.
Održavajte jaku sigurnosnu poziciju
Održavanje dobrog sigurnosnog položaja ključni je aspekt zaštite vaših sustava i podataka od kibernetičkih prijetnji poput trovanja LLMNR-om. Za to je potrebna kombinacija proaktivnih mjera, poput primjene jakih lozinki, redovitog ažuriranja softvera i sustava te edukacije zaposlenika o najboljim sigurnosnim praksama.
Kontinuiranom procjenom i poboljšavanjem sigurnosnih mjera vaša organizacija može biti ispred provala i prijetnji te zaštititi svoju imovinu od napada.
