Die mit Ihrem lokalen Netzwerk verbundenen Windows-PCs könnten anfällig sein. Sollten Sie Ihre LLMNR-Nutzung absichern oder ganz auf das Feature verzichten?
Windows Active Directory ist ein von Microsoft entwickelter Dienst, der noch heute in zahlreichen Organisationen auf der ganzen Welt verwendet wird. Es verbindet und speichert Informationen über mehrere Geräte und Dienste im selben Netzwerk. Wenn das Active Directory eines Unternehmens jedoch nicht ordnungsgemäß und sicher konfiguriert ist, kann dies zu einer Reihe von Schwachstellen und Angriffen führen.
Einer der beliebtesten Active Directory-Angriffe ist der LLMNR-Poisoning-Angriff. Bei Erfolg kann ein LLMNR-Poisoning-Angriff einem Hacker-Administrator Zugriff und Berechtigungen für den Active Directory-Dienst gewähren.
Lesen Sie weiter, um zu erfahren, wie der LLMNR-Vergiftungsangriff funktioniert und wie Sie verhindern können, dass er Ihnen passiert.
Was ist LLMNR?
LLMNR steht für Link-Local Multicast Name Resolution. Es handelt sich um einen Namensauflösungsdienst oder ein Protokoll, das unter Windows verwendet wird, um die IP-Adresse eines Hosts im selben lokalen Netzwerk aufzulösen, wenn der DNS-Server nicht verfügbar ist.
LLMNR sendet eine Anfrage an alle Geräte in einem Netzwerk, die einen bestimmten Hostnamen anfordern. Dazu wird ein Name Resolution Request (NRR)-Paket verwendet, das an alle Geräte in diesem Netzwerk gesendet wird. Wenn es ein Gerät mit diesem Hostnamen gibt, antwortet es mit einem Name Resolution Response (NRP)-Paket, das seine IP-Adresse enthält, und stellt eine Verbindung mit dem anfragenden Gerät her.
Leider ist LLMNR weit davon entfernt, ein sicherer Modus zur Auflösung von Hostnamen zu sein. Seine Hauptschwäche besteht darin, dass es bei der Kommunikation den Benutzernamen und das zugehörige Passwort verwendet.
Was ist LLMNR-Vergiftung?
LLMNR Poisoning ist eine Art Man-in-the-Middle-Angriff, der das LLMNR-Protokoll (Link-Local Multicast Name Resolution) in Windows-Systemen ausnutzt. Bei der LLMNR-Vergiftung hört ein Angreifer zu und wartet darauf, eine Anfrage des Ziels abzufangen. Bei Erfolg kann diese Person dann eine böswillige LLMNR-Antwort an einen Zielcomputer senden und ihn hereinlegen Senden vertraulicher Informationen (Benutzername und Passwort-Hash) an sie anstelle des beabsichtigten Netzwerks Ressource. Dieser Angriff kann verwendet werden, um Anmeldeinformationen zu stehlen, eine Netzwerkaufklärung durchzuführen oder weitere Angriffe auf das Zielsystem oder -netzwerk zu starten.
Wie funktioniert die LLMNR-Vergiftung?
In den meisten Fällen wird LLMNR mit einem Tool namens Responder erreicht. Es ist ein beliebtes Open-Source-Skript, das normalerweise in Python geschrieben und für LLMNR-, NBT-NS- und MDNS-Vergiftungen verwendet wird. Es richtet mehrere Server wie SMB, LDAP, Auth, WDAP usw. ein. Wenn das Responder-Skript in einem Netzwerk ausgeführt wird, hört es LLMNR-Anfragen ab, die von anderen Geräten in diesem Netzwerk gestellt werden, und führt Man-in-the-Middle-Angriffe auf sie aus. Das Tool kann verwendet werden, um Authentifizierungsdaten zu erfassen, Zugang zu Systemen zu erhalten und andere böswillige Aktivitäten durchzuführen.
Wenn ein Angreifer das Responder-Skript ausführt, lauscht das Skript unauffällig auf Ereignisse und LLMNR-Abfragen. Wenn einer auftritt, sendet er vergiftete Antworten an sie. Wenn diese Spoofing-Angriffe erfolgreich sind, zeigt der Responder den Benutzernamen und den Passwort-Hash des Ziels an.
Der Angreifer kann dann versuchen, den Passwort-Hash mit verschiedenen Tools zum Knacken von Passwörtern zu knacken. Der Passwort-Hash ist normalerweise ein NTLMv1-Hash. Wenn das Passwort des Ziels schwach ist, wird es brutal erzwungen und in kürzester Zeit geknackt. Und wenn dies passiert, könnte sich der Angreifer beim Konto des Benutzers anmelden und sich als dessen ausgeben Opfer zu finden, Malware zu installieren oder andere Aktivitäten wie Netzwerkaufklärung und -daten durchzuführen Exfiltration.
Bestehen Sie die Hash-Angriffe
Das Erschreckende an diesem Angriff ist, dass der Passwort-Hash manchmal nicht geknackt werden muss. Der Hash selbst kann in einem Pass-the-Hash-Angriff verwendet werden. Bei einem Pass-the-Hash-Angriff verwendet der Cyberkriminelle den ungeknackten Passwort-Hash, um Zugriff auf das Konto des Benutzers zu erhalten und sich zu authentifizieren.
Bei einem normalen Authentifizierungsprozess geben Sie Ihr Passwort im Klartext ein. Das Passwort wird dann mit einem kryptografischen Algorithmus (z. B. MD5 oder SHA1) gehasht und mit der gehashten Version verglichen, die in der Datenbank des Systems gespeichert ist. Wenn die Hashes übereinstimmen, werden Sie authentifiziert. Aber bei einem Pass-the-Hash-Angriff fängt der Angreifer den Passwort-Hash während der Authentifizierung ab und verwendet ihn erneut, um sich zu authentifizieren, ohne das Klartext-Passwort zu kennen.
Wie kann man einer LLMNR-Vergiftung vorbeugen?
LLMNR-Vergiftung mag ein beliebter Cyberangriff sein, das bedeutet auch, dass es erprobte und vertrauenswürdige Maßnahmen gibt, um sie abzuschwächen und Sie und Ihr Vermögen zu schützen. Einige dieser Maßnahmen umfassen die Verwendung von Firewalls, Multifaktor-Authentifizierung, IPSec, starke Passwörter und die vollständige Deaktivierung von LLMNR.
1. LLMNR deaktivieren
Der beste Weg, um einen LLMNR-Vergiftungsangriff zu vermeiden, besteht darin, das LLMNR-Protokoll in Ihrem Netzwerk zu deaktivieren. Wenn Sie den Dienst nicht nutzen, müssen Sie das zusätzliche Sicherheitsrisiko nicht eingehen.
Wenn Sie eine solche Funktionalität benötigen, ist das DNS-Protokoll (Domain Name System) die bessere und sicherere Alternative.
2. Netzwerkzugriffskontrolle erforderlich
Network Access Control verhindert LLMNR-Poisoning-Angriffe, indem strenge Sicherheitsrichtlinien und Zugriffskontrollmaßnahmen auf allen Netzwerkgeräten durchgesetzt werden. Es kann nicht autorisierte Geräte erkennen und daran hindern, auf das Netzwerk zuzugreifen, und Echtzeitüberwachung und Warnungen bereitstellen
Network Access Control kann auch LLMNR-Poisoning-Angriffe verhindern Durchsetzung der Netzwerksegmentierung, das die Angriffsfläche des Netzwerks einschränkt und den unbefugten Zugriff auf sensible Daten oder kritische Systeme einschränkt.
3. Netzwerksegmentierung implementieren
Sie können den Umfang von LLMNR-Poisoning-Angriffen einschränken Aufteilen Ihres Netzwerks in kleinere Subnetze. Dies kann durch die Verwendung von VLANs, Firewalls und anderen Netzwerksicherheitsmaßnahmen erfolgen.
4. Verwenden Sie sichere Passwörter
Für den Fall, dass ein LLMNR-Poisoning-Angriff stattfindet, ist es ratsam, starke Passwörter zu verwenden, die nicht leicht zu knacken sind. Schwache Passwörter, die beispielsweise auf Ihrem Namen oder einer Zahlenfolge basieren, können leicht erraten werden oder sind bereits in einer Wörterbuchtabelle oder einer Passwortliste vorhanden.
Behalten Sie eine starke Sicherheitshaltung bei
Die Aufrechterhaltung einer guten Sicherheitslage ist ein entscheidender Aspekt beim Schutz Ihrer Systeme und Daten vor Cyber-Bedrohungen wie LLMNR-Vergiftung. Dazu ist eine Kombination aus proaktiven Maßnahmen erforderlich, z. B. die Implementierung starker Passwörter, die regelmäßige Aktualisierung von Software und Systemen und die Schulung der Mitarbeiter zu Best Practices im Bereich Sicherheit.
Durch die kontinuierliche Bewertung und Verbesserung der Sicherheitsmaßnahmen kann Ihr Unternehmen Verstößen und Bedrohungen einen Schritt voraus sein und Ihre Ressourcen vor Angriffen schützen.
