Οι υπολογιστές με Windows που είναι συνδεδεμένοι στο τοπικό σας δίκτυο ενδέχεται να είναι ευάλωτοι. Πρέπει να εξασφαλίσετε τη χρήση του LLMNR ή να το κάνετε χωρίς εντελώς τη λειτουργία;
Το Windows Active Directory είναι μια υπηρεσία που δημιουργήθηκε από τη Microsoft και εξακολουθεί να χρησιμοποιείται σήμερα σε πολλούς οργανισμούς σε όλο τον κόσμο. Συνδέει και αποθηκεύει πληροφορίες για πολλές συσκευές και υπηρεσίες στο ίδιο δίκτυο μαζί. Ωστόσο, εάν το Active Directory μιας εταιρείας δεν έχει ρυθμιστεί σωστά και με ασφάλεια, θα μπορούσε να οδηγήσει σε μια σειρά από τρωτά σημεία και επιθέσεις.
Μία από τις πιο δημοφιλείς επιθέσεις Active Directory είναι η επίθεση LLMNR Poisoning. Εάν είναι επιτυχής, μια επίθεση δηλητηρίασης LLMNR μπορεί να δώσει σε έναν χάκερ πρόσβαση διαχειριστή και προνόμια στην υπηρεσία Active Directory.
Διαβάστε παρακάτω για να ανακαλύψετε πώς λειτουργεί η επίθεση δηλητηρίασης LLMNR και πώς να την αποτρέψετε από το να σας συμβεί.
Τι είναι το LLMNR;
Το LLMNR σημαίνει Link-Local Multicast Name Resolution. Είναι μια υπηρεσία ή ένα πρωτόκολλο επίλυσης ονόματος που χρησιμοποιείται στα Windows για την επίλυση της διεύθυνσης IP ενός κεντρικού υπολογιστή στο ίδιο τοπικό δίκτυο όταν ο διακομιστής DNS δεν είναι διαθέσιμος.
Το LLMNR λειτουργεί στέλνοντας ένα ερώτημα σε όλες τις συσκευές σε ένα δίκτυο που ζητά ένα συγκεκριμένο όνομα κεντρικού υπολογιστή. Αυτό το κάνει χρησιμοποιώντας ένα πακέτο αίτησης ανάλυσης ονόματος (NRR) που μεταδίδει σε όλες τις συσκευές σε αυτό το δίκτυο. Εάν υπάρχει μια συσκευή με αυτό το όνομα κεντρικού υπολογιστή, θα ανταποκριθεί με ένα πακέτο Name Resolution Response (NRP) που περιέχει τη διεύθυνση IP της και θα δημιουργήσει μια σύνδεση με τη συσκευή που ζητά.
Δυστυχώς, το LLMNR απέχει πολύ από το να είναι μια ασφαλής λειτουργία ανάλυσης ονόματος κεντρικού υπολογιστή. Η κύρια αδυναμία του είναι ότι χρησιμοποιεί το όνομα χρήστη κάποιου μαζί με τον αντίστοιχο κωδικό πρόσβασης κατά την επικοινωνία.
Τι είναι η δηλητηρίαση LLMNR;
Το LLMNR Poisoning είναι ένας τύπος επίθεσης man-in-the-middle που εκμεταλλεύεται το πρωτόκολλο LLMNR (Link-Local Multicast Name Resolution) στα συστήματα Windows. Στο LLMNR Poisoning, ένας εισβολέας ακούει και περιμένει να υποκλέψει ένα αίτημα από τον στόχο. Εάν είναι επιτυχής, αυτό το άτομο μπορεί στη συνέχεια να στείλει μια κακόβουλη απάντηση LLMNR σε έναν υπολογιστή-στόχο, εξαπατώντας τον αποστολή ευαίσθητων πληροφοριών (κατακερματισμός ονόματος χρήστη και κωδικού πρόσβασης) σε αυτούς αντί για το προβλεπόμενο δίκτυο πόρος. Αυτή η επίθεση μπορεί να χρησιμοποιηθεί για την κλοπή διαπιστευτηρίων, την αναγνώριση δικτύου ή για περαιτέρω επιθέσεις στο σύστημα ή το δίκτυο στόχου.
Πώς λειτουργεί η δηλητηρίαση LLMNR;
Στις περισσότερες περιπτώσεις, το LLMNR επιτυγχάνεται χρησιμοποιώντας ένα εργαλείο που ονομάζεται Responder. Είναι ένα δημοφιλές σενάριο ανοιχτού κώδικα που συνήθως γράφεται σε python και χρησιμοποιείται για δηλητηρίαση LLMNR, NBT-NS και MDNS. Ρυθμίζει πολλούς διακομιστές όπως SMB, LDAP, Auth, WDAP κ.λπ. Όταν εκτελείται σε ένα δίκτυο, το σενάριο Responder ακούει ερωτήματα LLMNR που γίνονται από άλλες συσκευές σε αυτό το δίκτυο και εκτελεί επιθέσεις man-in-the-middle σε αυτές. Το εργαλείο μπορεί να χρησιμοποιηθεί για τη λήψη διαπιστευτηρίων ελέγχου ταυτότητας, την απόκτηση πρόσβασης σε συστήματα και την εκτέλεση άλλων κακόβουλων δραστηριοτήτων.
Όταν ένας εισβολέας εκτελεί το σενάριο απάντησης, το σενάριο ακούει αθόρυβα για συμβάντα και ερωτήματα LLMNR. Όταν εμφανίζεται ένα, τους στέλνει δηλητηριασμένες απαντήσεις. Εάν αυτές οι επιθέσεις πλαστογράφησης είναι επιτυχείς, ο ανταποκρινόμενος εμφανίζει το όνομα χρήστη και τον κωδικό πρόσβασης του στόχου.
Ο εισβολέας μπορεί στη συνέχεια να προσπαθήσει να σπάσει τον κατακερματισμό του κωδικού πρόσβασης χρησιμοποιώντας διάφορα εργαλεία διάρρηξης κωδικού πρόσβασης. Ο κατακερματισμός κωδικού πρόσβασης είναι συνήθως κατακερματισμός NTLMv1. Εάν ο κωδικός πρόσβασης του στόχου είναι αδύναμος, θα ήταν βάναυσα αναγκαστική και θα σπάσει σε ελάχιστο έως καθόλου χρόνο. Και όταν συμβεί αυτό, ο εισβολέας θα μπορεί να συνδεθεί στο λογαριασμό του χρήστη, να μιμηθεί τον θύμα, εγκατάσταση κακόβουλου λογισμικού ή εκτέλεση άλλων δραστηριοτήτων όπως αναγνώριση δικτύου και δεδομένα διήθηση.
Περάστε τα Hash Attacks
Το τρομακτικό με αυτήν την επίθεση είναι ότι μερικές φορές ο κατακερματισμός του κωδικού πρόσβασης δεν χρειάζεται να σπάσει. Ο ίδιος ο κατακερματισμός μπορεί να χρησιμοποιηθεί σε ένα πέρασμα στην επίθεση κατακερματισμού. Ένα πέρασμα στην επίθεση κατακερματισμού είναι μια επίθεση κατά την οποία ο κυβερνοεγκληματίας χρησιμοποιεί τον κατακερματισμό του μη σπασμένου κωδικού πρόσβασης για να αποκτήσει πρόσβαση στον λογαριασμό του χρήστη και να ελέγξει την ταυτότητα του.
Σε μια κανονική διαδικασία ελέγχου ταυτότητας, εισάγετε τον κωδικό πρόσβασής σας σε απλό κείμενο. Στη συνέχεια, ο κωδικός πρόσβασης κατακερματίζεται με έναν κρυπτογραφικό αλγόριθμο (όπως MD5 ή SHA1) και συγκρίνεται με την κατακερματισμένη έκδοση που είναι αποθηκευμένη στη βάση δεδομένων του συστήματος. Εάν οι κατακερματισμοί ταιριάζουν, επαληθεύεστε. Όμως, σε ένα πέρασμα στην επίθεση κατακερματισμού, ο εισβολέας παρεμποδίζει τον κατακερματισμό του κωδικού πρόσβασης κατά τον έλεγχο ταυτότητας και τον επαναχρησιμοποιεί για έλεγχο ταυτότητας χωρίς να γνωρίζει τον κωδικό πρόσβασης απλού κειμένου.
Πώς να αποτρέψετε τη δηλητηρίαση LLMNR;
Η δηλητηρίαση LLMNR μπορεί να είναι μια δημοφιλής κυβερνοεπίθεση, αυτό σημαίνει επίσης ότι υπάρχουν δοκιμασμένα και αξιόπιστα μέτρα για τον μετριασμό της και για την ασφάλεια εσάς και των περιουσιακών σας στοιχείων. Μερικά από αυτά τα μέτρα περιλαμβάνουν τη χρήση τείχους προστασίας, έλεγχο ταυτότητας πολλαπλών παραγόντων, IPSec, ισχυρούς κωδικούς πρόσβασης και πλήρη απενεργοποίηση του LLMNR.
1. Απενεργοποιήστε το LLMNR
Ο καλύτερος τρόπος για να αποφύγετε να σας συμβεί μια επίθεση δηλητηρίασης LLMNR είναι να απενεργοποιήσετε το πρωτόκολλο LLMNR στο δίκτυό σας. Εάν δεν χρησιμοποιείτε την υπηρεσία, δεν χρειάζεται να έχετε τον πρόσθετο κίνδυνο ασφάλειας.
Εάν χρειάζεστε τέτοια λειτουργικότητα, η καλύτερη και πιο ασφαλής εναλλακτική είναι το πρωτόκολλο Domain Name System (DNS).
2. Απαιτείται έλεγχος πρόσβασης δικτύου
Ο Έλεγχος πρόσβασης δικτύου αποτρέπει τις επιθέσεις δηλητηρίασης LLMNR επιβάλλοντας ισχυρές πολιτικές ασφαλείας και μέτρα ελέγχου πρόσβασης σε όλες τις συσκευές δικτύου. Μπορεί να εντοπίσει και να αποκλείσει την πρόσβαση μη εξουσιοδοτημένων συσκευών στο δίκτυο και να παρέχει παρακολούθηση και ειδοποιήσεις σε πραγματικό χρόνο
Ο Έλεγχος πρόσβασης δικτύου μπορεί επίσης να αποτρέψει επιθέσεις δηλητηρίασης LLMNR από επιβολή τμηματοποίησης δικτύου, που περιορίζει την επιφάνεια επίθεσης του δικτύου και περιορίζει τη μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα ή κρίσιμα συστήματα.
3. Εφαρμογή τμηματοποίησης δικτύου
Μπορείτε να περιορίσετε το εύρος των επιθέσεων LLMNR Poisoning κατά χωρίζοντας το δίκτυό σας σε μικρότερα υποδίκτυα. Αυτό μπορεί να γίνει με τη χρήση VLAN, τείχη προστασίας και άλλα μέτρα ασφάλειας δικτύου.
4. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης
Σε περίπτωση που λάβει χώρα μια επίθεση δηλητηρίασης LLMNR, συνιστάται η χρήση ισχυρών κωδικών πρόσβασης που δεν μπορούν εύκολα να σπάσουν. Οι αδύναμοι κωδικοί πρόσβασης, όπως αυτοί που βασίζονται στο όνομά σας ή σε μια ακολουθία αριθμών, μπορούν εύκολα να μαντευτούν ή υπάρχουν ήδη σε έναν πίνακα λεξικών ή σε μια λίστα κωδικών πρόσβασης.
Διατηρήστε μια ισχυρή στάση ασφαλείας
Η διατήρηση μιας καλής στάσης ασφαλείας είναι μια κρίσιμη πτυχή για την προστασία των συστημάτων και των δεδομένων σας από απειλές στον κυβερνοχώρο, όπως η δηλητηρίαση LLMNR. Για να γίνει αυτό απαιτείται ένας συνδυασμός προληπτικών μέτρων, όπως η εφαρμογή ισχυρών κωδικών πρόσβασης, η τακτική ενημέρωση λογισμικού και συστημάτων και η εκπαίδευση των εργαζομένων σχετικά με τις βέλτιστες πρακτικές ασφάλειας.
Με τη συνεχή αξιολόγηση και βελτίωση των μέτρων ασφαλείας, ο οργανισμός σας μπορεί να βρίσκεται μπροστά από παραβιάσεις και απειλές και να προστατεύει τα περιουσιακά σας στοιχεία από επιθέσεις.
