Шта је ЛЛМНР тровање и како га можете спречити?

Виндовс Ацтиве Дирецтори је услуга коју је креирао Мицрософт која се и данас користи у бројним организацијама широм света. Повезује и складишти информације о више уређаја и услуга на истој мрежи заједно. Али ако активни директоријум компаније није правилно и безбедно конфигурисан, то може довести до низа рањивости и напада.

Један од популарнијих напада Ацтиве Дирецтори-а је ЛЛМНР Поисонинг напад. Ако је успешан, напад тровања ЛЛМНР-ом може дати хакерском администратору приступ и привилегије за услугу Ацтиве Дирецтори.

Читајте даље да бисте открили како функционише напад тровања ЛЛМНР и како спречити да вам се то догоди.

Шта је ЛЛМНР?

ЛЛМНР је скраћеница од Линк-Лоцал Мултицаст Наме Ресолутион. То је услуга или протокол за решавање имена који се користи у Виндовс-у за решавање ИП адресе хоста на истој локалној мрежи када ДНС сервер није доступан.

ЛЛМНР функционише тако што шаље упит свим уређајима широм мреже који захтева одређено име хоста. То ради помоћу пакета Захтева за разрешење имена (НРР) који емитује на све уређаје на тој мрежи. Ако постоји уређај са тим именом хоста, он ће одговорити пакетом одговора резолуције имена (НРП) који садржи његову ИП адресу и успоставити везу са уређајем који захтева.

Нажалост, ЛЛМНР је далеко од тога да буде сигуран начин резолуције имена хоста. Његова главна слабост је што користи нечије корисничко име уз одговарајућу лозинку приликом комуникације.

Шта је ЛЛМНР тровање?

ЛЛМНР тровање је врста напада човека у средини који искоришћава ЛЛМНР (Линк-Лоцал Мултицаст Наме Ресолутион) протокол у Виндовс системима. У ЛЛМНР тровању, нападач слуша и чека да пресретне захтев од мете. Ако успе, ова особа може да пошаље злонамерни ЛЛМНР одговор циљном рачунару, преваривши га слање осетљивих информација (хеш корисничког имена и лозинке) уместо предвиђене мреже ресурс. Овај напад се може користити за крађу акредитива, извиђање мреже или покретање даљих напада на циљни систем или мрежу.

Како функционише тровање ЛЛМНР?

У већини случајева, ЛЛМНР се постиже помоћу алата који се зове Респондер. То је популарна скрипта отвореног кода која се обично пише на Питхон-у и користи се за тровање ЛЛМНР, НБТ-НС и МДНС. Поставља више сервера као што су СМБ, ЛДАП, Аутх, ВДАП, итд. Када се покрене на мрежи, скрипта Респондер слуша ЛЛМНР упите које су направили други уређаји на тој мрежи и на њих врши нападе „човјек у средини“. Алат се може користити за хватање акредитива за аутентификацију, добијање приступа системима и обављање других злонамерних активности.

Када нападач изврши скрипту одговора, скрипта тихо ослушкује догађаје и ЛЛМНР упите. Када се то догоди, шаље им отровне одговоре. Ако су ови напади лажирања успешни, одговорна особа приказује хеш корисничког имена и лозинке циља.

Нападач тада може покушати да разбије хеш лозинке користећи различите алате за пробијање лозинке. Хеш лозинке је обично НТЛМв1 хеш. Ако је лозинка мете слаба, била би грубо форсирана и разбијена за кратко или кратко време. А када се то догоди, нападач би могао да се пријави на кориснички налог, лажно представља жртва, инсталирање злонамерног софтвера или обављање других активности као што су извиђање мреже и подаци ексфилтрација.

Прођите хеш нападе

Застрашујућа ствар у вези са овим нападом је да понекад хеш лозинке не мора бити разбијен. Сам хеш се може користити у пролазу хеш напада. Пролаз хеш напада је онај у коме сајбер криминалац користи хеш непробијену лозинку да би добио приступ корисничком налогу и аутентификовао себе.

У нормалном процесу аутентификације, своју лозинку уносите у обичном тексту. Лозинка се затим хешује помоћу криптографског алгоритма (као што је МД5 или СХА1) и упоређује се са хешираном верзијом ускладиштеном у бази података система. Ако се хешови подударају, постајете аутентификовани. Али, у пролазу хеш напада, нападач пресреће хеш лозинке током аутентификације и поново га користи за аутентификацију без познавања лозинке обичног текста.

Како спречити тровање ЛЛМНР?

ЛЛМНР тровање може бити популаран сајбер напад, што такође значи да постоје проверене и поуздане мере за његово ублажавање и обезбеђивање вас и ваше имовине. Неке од ових мера укључују употребу заштитних зидова, вишефакторску аутентификацију, ИПСец, јаке лозинке и потпуно онемогућавање ЛЛМНР-а.

1. Онемогућите ЛЛМНР

Најбољи начин да избегнете напад ЛЛМНР тровања да вам се догоди је да онемогућите ЛЛМНР протокол на вашој мрежи. Ако не користите услугу, нема потребе за додатним безбедносним ризиком.

Ако вам је таква функционалност потребна, боља и сигурнија алтернатива је протокол ДНС (Домаин Наме Систем).

2. Захтева контролу приступа мрежи

Контрола приступа мрежи спречава ЛЛМНР нападе тровања применом јаких безбедносних политика и мера контроле приступа на свим мрежним уређајима. Може да открије и блокира неовлашћене уређаје да приступе мрежи и обезбеди праћење и упозорења у реалном времену

Контрола приступа мрежи такође може да спречи нападе тровања ЛЛМНР-ом спровођење сегментације мреже, који ограничава површину напада мреже и ограничава неовлашћени приступ осетљивим подацима или критичним системима.

3. Имплементирајте сегментацију мреже

Можете ограничити обим напада ЛЛМНР тровања дељење ваше мреже на мање подмреже. Ово се може урадити коришћењем ВЛАН-ова, заштитних зидова и других мера безбедности мреже.

4. Користите јаке лозинке

У случају да дође до напада тровања ЛЛМНР-ом, препоручљиво је користити јаке лозинке које се не могу лако разбити. Слабе лозинке, као што су оне засноване на вашем имену или низу бројева, могу се лако погодити или већ постоје у табели речника или листи лозинки.

Одржавајте јак безбедносни положај

Одржавање доброг безбедносног положаја је критичан аспект заштите ваших система и података од сајбер претњи као што је ЛЛМНР тровање. За то је потребна комбинација проактивних мера, као што је примена јаких лозинки, редовно ажурирање софтвера и система и едукација запослених о најбољим безбедносним праксама.

Континуираним проценом и побољшањем безбедносних мера, ваша организација може да буде испред кршења и претњи и да заштити вашу имовину од напада.