„Windows“ kompiuteriai, prijungti prie vietinio tinklo, gali būti pažeidžiami. Ar turėtumėte apsaugoti savo LLMNR naudojimą ar visiškai be šios funkcijos?

„Windows Active Directory“ yra „Microsoft“ sukurta paslauga, kuri vis dar naudojama daugelyje organizacijų visame pasaulyje. Jis kartu sujungia ir saugo informaciją apie kelis įrenginius ir paslaugas tame pačiame tinkle. Tačiau jei įmonės „Active Directory“ nėra tinkamai ir saugiai sukonfigūruotas, tai gali sukelti daugybę pažeidžiamumų ir atakų.

Viena iš populiariausių „Active Directory“ atakų yra „LLMNR Poisoning“ ataka. Jei pavyks, LLMNR apsinuodijimo ataka gali suteikti įsilaužėliui administratoriui prieigą ir privilegijas prie „Active Directory“ paslaugos.

Skaitykite toliau, kad sužinotumėte, kaip veikia LLMNR apsinuodijimo priepuolis ir kaip apsisaugoti nuo to, kad jis jums neatsitiks.

Kas yra LLMNR?

LLMNR reiškia „Link-Local Multicast Name Resolution“. Tai vardų nustatymo paslauga arba protokolas, naudojamas sistemoje Windows, siekiant nustatyti pagrindinio kompiuterio IP adresą tame pačiame vietiniame tinkle, kai DNS serveris nepasiekiamas.

LLMNR veikia siųsdama užklausą į visus įrenginius tinkle, prašant konkretaus pagrindinio kompiuterio pavadinimo. Tai daroma naudodama vardo skyros užklausos (NRR) paketą, kurį transliuoja į visus tame tinkle esančius įrenginius. Jei yra įrenginys su tokiu pagrindinio kompiuterio pavadinimu, jis atsakys pateikdamas vardo skyrimo atsako (NRP) paketą su jo IP adresu ir užmegs ryšį su užklausą pateikusiu įrenginiu.

Deja, LLMNR toli gražu nėra saugus pagrindinio kompiuterio vardo nustatymo būdas. Pagrindinis jo trūkumas yra tas, kad bendraujant kartu su atitinkamu slaptažodžiu naudojamas vartotojo vardas.

Kas yra LLMNR apsinuodijimas?

LLMNR apsinuodijimas yra tarpinio atakos tipas, kuris išnaudoja LLMNR (Link-Local Multicast Name Resolution) protokolą Windows sistemose. Naudojant LLMNR Poisoning, užpuolikas klauso ir laukia, kol perims taikinio užklausą. Jei pasiseks, šis asmuo gali nusiųsti kenkėjišką LLMNR atsakymą į tikslinį kompiuterį, apgaudinėdamas jį siunčiant jiems neskelbtiną informaciją (naudotojo vardo ir slaptažodžio maišą) vietoj numatyto tinklo išteklių. Ši ataka gali būti naudojama norint pavogti kredencialus, atlikti tinklo žvalgybą arba pradėti tolesnius atakas prieš tikslinę sistemą ar tinklą.

Kaip veikia LLMNR apsinuodijimas?

Daugeliu atvejų LLMNR pasiekiama naudojant įrankį, vadinamą Responder. Tai populiarus atvirojo kodo scenarijus, paprastai parašytas python ir naudojamas LLMNR, NBT-NS ir MDNS apsinuodijimui. Jis nustato kelis serverius, tokius kaip SMB, LDAP, Auth, WDAP ir kt. Kai vykdomas tinkle, atsakiklio scenarijus klausosi kitų tame tinkle esančių įrenginių pateiktų LLMNR užklausų ir vykdo jų atakas. Įrankis gali būti naudojamas autentifikavimo kredencialams užfiksuoti, prieigai prie sistemų gauti ir kitai kenksmingai veiklai atlikti.

Kai užpuolikas vykdo atsakiklio scenarijų, scenarijus tyliai klausosi įvykių ir LLMNR užklausų. Kai toks atsitinka, jis siunčia jiems užnuodytus atsakymus. Jei šios klastojimo atakos sėkmingos, atsakiklis rodo taikinio vartotojo vardo ir slaptažodžio maišą.

Tada užpuolikas gali bandyti nulaužti slaptažodžio maišą naudodamas įvairius slaptažodžio nulaužimo įrankius. Slaptažodžio maiša paprastai yra NTLMv1 maiša. Jei tikslo slaptažodis yra silpnas, jis būtų žiauriai priverstas ir nulaužtas per trumpą laiką. Ir kai tai atsitiks, užpuolikas galės prisijungti prie vartotojo paskyros, apsimesti auka, įdiegti kenkėjiškas programas arba atlikti kitą veiklą, pvz., tinklo žvalgybą ir duomenis eksfiltracija.

Įveikti maišos atakas

Šios atakos gąsdina tai, kad kartais slaptažodžio maišos nereikia nulaužti. Pati maiša gali būti naudojama maišos atakai. Maišos ataka yra tokia, kai kibernetinis nusikaltėlis naudoja neįlaužtą slaptažodžio maišą, kad gautų prieigą prie vartotojo paskyros ir patvirtintų savo tapatybę.

Įprasto autentifikavimo proceso metu slaptažodį įvedate paprastu tekstu. Tada slaptažodis sumaišomas su kriptografiniu algoritmu (pvz., MD5 arba SHA1) ir lyginamas su maišos versija, saugoma sistemos duomenų bazėje. Jei maišos sutampa, jūs tampate autentifikuotas. Tačiau maišos atakos metu užpuolikas autentifikavimo metu perima slaptažodžio maišą ir pakartotinai naudoja jį autentifikavimui, nežinodamas paprasto teksto slaptažodžio.

Kaip apsisaugoti nuo apsinuodijimo LLMNR?

Apsinuodijimas LLMNR gali būti populiari kibernetinė ataka, o tai taip pat reiškia, kad yra išbandytų ir patikimų priemonių ją sušvelninti ir apsaugoti jus bei jūsų turtą. Kai kurios iš šių priemonių apima ugniasienių naudojimą, daugiafaktorinį autentifikavimą, IPSec, stiprius slaptažodžius ir visišką LLMNR išjungimą.

1. Išjungti LLMNR

Geriausias būdas išvengti apsinuodijimo LLMNR atakos yra išjungti LLMNR protokolą savo tinkle. Jei nesinaudojate paslauga, nereikia turėti papildomos saugos rizikos.

Jei jums reikia tokios funkcijos, geresnė ir saugesnė alternatyva yra domenų vardų sistemos (DNS) protokolas.

2. Reikalauti tinklo prieigos kontrolės

Tinklo prieigos kontrolė apsaugo nuo LLMNR apsinuodijimo atakų, taikydama griežtą saugos politiką ir prieigos kontrolės priemones visuose tinklo įrenginiuose. Jis gali aptikti ir blokuoti neteisėtus įrenginius, kad jie negalėtų prisijungti prie tinklo, ir teikti stebėjimą bei įspėjimus realiuoju laiku

Tinklo prieigos valdymas taip pat gali užkirsti kelią LLMNR apsinuodijimo atakoms tinklo segmentavimo užtikrinimas, kuris riboja tinklo atakos paviršių ir riboja neteisėtą prieigą prie jautrių duomenų ar svarbių sistemų.

3. Įdiekite tinklo segmentavimą

Galite apriboti LLMNR apsinuodijimo atakų apimtį padalinti tinklą į mažesnius potinklius. Tai galima padaryti naudojant VLAN, ugniasienes ir kitas tinklo saugumo priemones.

4. Naudokite stiprius slaptažodžius

Tuo atveju, kai įvyksta LLMNR apsinuodijimo ataka, patartina naudoti stiprius slaptažodžius, kurių negalima lengvai nulaužti. Silpnus slaptažodžius, pvz., pagrįstus jūsų vardu arba skaičių seka, galima lengvai atspėti arba jie jau yra žodyno lentelėje arba slaptažodžių sąraše.

Laikykitės tvirtos saugos pozos

Geros saugos laikysenos palaikymas yra labai svarbus aspektas, apsaugantis jūsų sistemas ir duomenis nuo kibernetinių grėsmių, tokių kaip LLMNR apsinuodijimas. Norint tai padaryti, reikia imtis aktyvių priemonių, pvz., įdiegti stiprius slaptažodžius, reguliariai atnaujinti programinę įrangą ir sistemas bei mokyti darbuotojus apie geriausią saugos praktiką.

Nuolat vertindama ir tobulindama saugos priemones, jūsų organizacija gali išvengti pažeidimų ir grėsmių bei apsaugoti jūsų turtą nuo atakų.