Počítače se systémem Windows připojené k místní síti mohou být zranitelné. Měli byste si zajistit používání LLMNR nebo se bez této funkce úplně obejít?
Windows Active Directory je služba vytvořená společností Microsoft, která se dodnes používá v mnoha organizacích po celém světě. Spojuje a ukládá informace o více zařízeních a službách ve stejné síti společně. Pokud však služba Active Directory společnosti není správně a bezpečně nakonfigurována, může to vést k řadě zranitelností a útoků.
Jedním z nejpopulárnějších útoků Active Directory je útok LLMNR Poisoning. V případě úspěchu může útok otravy LLMNR poskytnout hackerovi administrátorský přístup a oprávnění ke službě Active Directory.
Čtěte dále a zjistěte, jak útok otravy LLMNR funguje a jak zabránit tomu, aby se vám stal.
Co je LLMNR?
LLMNR znamená Link-Local Multicast Name Resolution. Je to služba nebo protokol pro překlad názvů používaný v systému Windows k překladu IP adresy hostitele ve stejné místní síti, když DNS server není dostupný.
LLMNR funguje tak, že všem zařízením v síti posílá dotaz s požadavkem na konkrétní název hostitele. Dělá to pomocí paketu Name Resolution Request (NRR), který vysílá do všech zařízení v dané síti. Pokud existuje zařízení s tímto názvem hostitele, odpoví paketem NRP (Name Resolution Response) obsahujícím jeho IP adresu a naváže spojení s požadujícím zařízením.
Bohužel LLMNR zdaleka není bezpečným režimem rozlišení hostitelských jmen. Jeho hlavní slabinou je, že při komunikaci používá vedle odpovídajícího hesla také uživatelské jméno.
Co je otrava LLMNR?
LLMNR Poisoning je typ útoku typu man-in-the-middle, který využívá protokol LLMNR (Link-Local Multicast Name Resolution) v systémech Windows. V LLMNR Poisoning útočník naslouchá a čeká na zachycení požadavku od cíle. Pokud bude úspěšná, může tato osoba odeslat škodlivou odpověď LLMNR do cílového počítače a oklamat jej odesílání citlivých informací (hash uživatelského jména a hesla) jim namísto zamýšlené sítě zdroj. Tento útok lze použít k odcizení přihlašovacích údajů, provádění průzkumu sítě nebo zahájení dalších útoků na cílový systém nebo síť.
Jak funguje otrava LLMNR?
Ve většině případů je LLMNR dosaženo pomocí nástroje zvaného Responder. Jedná se o populární open-source skript obvykle napsaný v pythonu a používaný pro otravu LLMNR, NBT-NS a MDNS. Nastavuje více serverů, jako je SMB, LDAP, Auth, WDAP atd. Při spuštění v síti poslouchá skript Responder dotazy LLMNR provedené jinými zařízeními v této síti a provádí na ně útoky typu man-in-the-middle. Tento nástroj lze použít k zachycení ověřovacích pověření, získání přístupu k systémům a provádění dalších škodlivých činností.
Když útočník spustí skript respondéru, skript tiše naslouchá událostem a dotazům LLMNR. Když k nim dojde, pošle jim otrávené odpovědi. Pokud jsou tyto spoofingové útoky úspěšné, respondent zobrazí cílové uživatelské jméno a heslo hash.
Útočník se pak může pokusit prolomit hash hesla pomocí různých nástrojů pro prolomení hesel. Hash hesla je obvykle hash NTLMv1. Pokud je heslo cíle slabé, bylo by brutálně vynuceno a prolomeno během krátké doby. A když k tomu dojde, útočník se bude moci přihlásit k účtu uživatele a vydávat se za něj oběť, instalovat malware nebo provádět jiné činnosti, jako je průzkum sítě a dat exfiltrace.
Projděte hashovými útoky
Na tomto útoku je děsivé, že někdy není nutné prolomit hash hesla. Samotný hash lze použít při předávání hašovacího útoku. Útok typu pass the hash je útok, kdy kyberzločinec použije neprolomený hash hesla k získání přístupu k uživatelskému účtu a autentizaci.
Při běžném procesu ověřování zadáváte své heslo jako prostý text. Heslo je poté hašováno pomocí kryptografického algoritmu (jako je MD5 nebo SHA1) a porovnáváno s hašovanou verzí uloženou v databázi systému. Pokud se hash shoduje, stanete se ověřeným. Při úspěšném hašovacím útoku však útočník zachytí hash hesla během ověřování a znovu jej použije k ověření, aniž by znal heslo ve formátu prostého textu.
Jak zabránit otravě LLMNR?
LLMNR Poisoning může být oblíbeným kybernetickým útokem, což také znamená, že existují otestovaná a důvěryhodná opatření ke zmírnění a zabezpečení vás a vašeho majetku. Některá z těchto opatření zahrnují použití firewallů, vícefaktorové ověřování, IPSec, silná hesla a úplné zakázání LLMNR.
1. Zakázat LLMNR
Nejlepší způsob, jak se vyhnout útoku otravy LLMNR, je deaktivovat protokol LLMNR ve vaší síti. Pokud službu nepoužíváte, není nutné mít další bezpečnostní riziko.
Pokud takovou funkcionalitu potřebujete, lepší a bezpečnější alternativou je protokol Domain Name System (DNS).
2. Vyžadovat řízení přístupu k síti
Řízení přístupu k síti zabraňuje útokům otravy LLMNR prosazováním přísných bezpečnostních politik a opatření pro řízení přístupu na všech síťových zařízeních. Dokáže detekovat a blokovat neoprávněná zařízení v přístupu k síti a poskytovat monitorování a upozornění v reálném čase
Network Access Control může také zabránit útokům otravy LLMNR vynucování segmentace sítě, který omezuje útočnou plochu sítě a omezuje neoprávněný přístup k citlivým datům nebo kritickým systémům.
3. Implementujte segmentaci sítě
Rozsah útoků LLMNR Poisoning můžete omezit pomocí rozdělení sítě na menší podsítě. Toho lze dosáhnout pomocí sítí VLAN, firewallů a dalších opatření pro zabezpečení sítě.
4. Používejte silná hesla
V případě, že dojde k LLMNR Poisoning Attack, je vhodné používat silná hesla, která nelze snadno prolomit. Slabá hesla, jako jsou hesla založená na vašem jméně nebo posloupnosti čísel, lze snadno uhodnout nebo již existují ve slovníkové tabulce nebo seznamu hesel.
Udržujte pevný bezpečnostní postoj
Udržování dobrého stavu zabezpečení je kritickým aspektem ochrany vašich systémů a dat před kybernetickými hrozbami, jako je otrava LLMNR. To vyžaduje kombinaci proaktivních opatření, jako je implementace silných hesel, pravidelná aktualizace softwaru a systémů a vzdělávání zaměstnanců v oblasti osvědčených bezpečnostních postupů.
Neustálým vyhodnocováním a zlepšováním bezpečnostních opatření si vaše organizace může udržet náskok před narušeními a hrozbami a chránit váš majetek před útoky.