De Windows-pc's die op uw lokale netwerk zijn aangesloten, kunnen kwetsbaar zijn. Moet u uw LLMNR-gebruik beveiligen of de functie helemaal missen?
Windows Active Directory is een service die is gemaakt door Microsoft en die nog steeds wordt gebruikt in tal van organisaties over de hele wereld. Het verbindt en slaat informatie op over meerdere apparaten en services op hetzelfde netwerk samen. Maar als de Active Directory van een bedrijf niet correct en veilig is geconfigureerd, kan dit leiden tot een reeks kwetsbaarheden en aanvallen.
Een van de meer populaire Active Directory-aanvallen is de LLMNR Poisoning-aanval. Als dit lukt, kan een LLMNR-vergiftigingsaanval een hacker beheerderstoegang en privileges geven voor de Active Directory-service.
Lees verder om te ontdekken hoe de LLMNR-vergiftigingsaanval werkt en hoe u kunt voorkomen dat dit u overkomt.
Wat is LLMNR?
LLMNR staat voor Link-Local Multicast Name Resolution. Het is een naamomzettingsservice of -protocol dat op Windows wordt gebruikt om het IP-adres van een host op hetzelfde lokale netwerk op te lossen wanneer de DNS-server niet beschikbaar is.
LLMNR werkt door een query naar alle apparaten in een netwerk te sturen met het verzoek om een specifieke hostnaam. Het doet dit met behulp van een Name Resolution Request (NRR) -pakket dat het uitzendt naar alle apparaten op dat netwerk. Als er een apparaat is met die hostnaam, zal het reageren met een Name Resolution Response (NRP)-pakket dat zijn IP-adres bevat en een verbinding tot stand brengen met het aanvragende apparaat.
Helaas is LLMNR allesbehalve een veilige manier om hostnamen om te zetten. De belangrijkste zwakte is dat het bij het communiceren iemands gebruikersnaam naast het bijbehorende wachtwoord gebruikt.
Wat is LLMNR-vergiftiging?
LLMNR-vergiftiging is een soort man-in-the-middle-aanval die gebruikmaakt van het LLMNR-protocol (Link-Local Multicast Name Resolution) in Windows-systemen. Bij LLMNR Poisoning luistert en wacht een aanvaller om een verzoek van het doelwit te onderscheppen. Als dit lukt, kan deze persoon vervolgens een kwaadaardig LLMNR-antwoord naar een doelcomputer sturen en deze naar binnen lokken het verzenden van gevoelige informatie (gebruikersnaam en wachtwoord-hash) naar hen in plaats van naar het beoogde netwerk bron. Deze aanval kan worden gebruikt om inloggegevens te stelen, netwerkverkenning uit te voeren of verdere aanvallen op het doelsysteem of netwerk uit te voeren.
Hoe werkt LLMNR-vergiftiging?
In de meeste gevallen wordt LLMNR bereikt met behulp van een tool genaamd Responder. Het is een populair open-sourcescript dat meestal in python is geschreven en wordt gebruikt voor LLMNR-, NBT-NS- en MDNS-vergiftiging. Het stelt meerdere servers in zoals SMB, LDAP, Auth, WDAP, enz. Wanneer het Responder-script op een netwerk wordt uitgevoerd, luistert het naar LLMNR-query's van andere apparaten op dat netwerk en voert het man-in-the-middle-aanvallen op deze apparaten uit. De tool kan worden gebruikt om authenticatiereferenties vast te leggen, toegang te krijgen tot systemen en andere kwaadaardige activiteiten uit te voeren.
Wanneer een aanvaller het antwoordscript uitvoert, luistert het script rustig naar gebeurtenissen en LLMNR-query's. Wanneer er een optreedt, stuurt het vergiftigde reacties naar hen. Als deze spoofing-aanvallen succesvol zijn, geeft de responder de hash van de gebruikersnaam en het wachtwoord van het doelwit weer.
De aanvaller kan vervolgens proberen de wachtwoord-hash te kraken met behulp van verschillende hulpprogramma's voor het kraken van wachtwoorden. De wachtwoord-hash is meestal een NTLMv1-hash. Als het wachtwoord van het doelwit zwak is, wordt het binnen de kortste keren bruut geforceerd en gekraakt. En wanneer dit gebeurt, kan de aanvaller inloggen op het account van de gebruiker en zich voordoen als de slachtoffer, installeer malware of voer andere activiteiten uit, zoals netwerkverkenning en data exfiltratie.
Passeer de hasjaanvallen
Het angstaanjagende aan deze aanval is dat de wachtwoordhash soms niet hoeft te worden gekraakt. De hasj zelf kan worden gebruikt in een pass the hash-aanval. Een pass the hash-aanval is er een waarbij de cybercrimineel de niet-gekraakte wachtwoord-hash gebruikt om toegang te krijgen tot het account van de gebruiker en zichzelf te authenticeren.
Bij een normaal authenticatieproces voert u uw wachtwoord in platte tekst in. Het wachtwoord wordt vervolgens gehasht met een cryptografisch algoritme (zoals MD5 of SHA1) en vergeleken met de gehashte versie die is opgeslagen in de database van het systeem. Als de hashes overeenkomen, wordt u geverifieerd. Maar in een pass van de hash-aanval onderschept de aanvaller de wachtwoord-hash tijdens authenticatie en hergebruikt deze om te authenticeren zonder het wachtwoord in platte tekst te kennen.
Hoe LLMNR-vergiftiging te voorkomen?
LLMNR Vergiftiging is misschien een populaire cyberaanval, dit betekent ook dat er geteste en vertrouwde maatregelen zijn om het te beperken en u en uw bezittingen te beveiligen. Sommige van deze maatregelen omvatten het gebruik van firewalls, multifactor-authenticatie, IPSec, sterke wachtwoorden en het helemaal uitschakelen van LLMNR.
1. Schakel LLMNR uit
De beste manier om te voorkomen dat u een LLMNR-vergiftigingsaanval krijgt, is door het LLMNR-protocol op uw netwerk uit te schakelen. Als u de service niet gebruikt, hoeft u geen extra beveiligingsrisico te lopen.
Als u dergelijke functionaliteit toch nodig heeft, is het betere en veiligere alternatief het Domain Name System (DNS)-protocol.
2. Netwerktoegangsbeheer vereisen
Netwerktoegangsbeheer voorkomt LLMNR-vergiftigingsaanvallen door een sterk beveiligingsbeleid en toegangscontrolemaatregelen op alle netwerkapparaten af te dwingen. Het kan ongeautoriseerde apparaten detecteren en de toegang tot het netwerk blokkeren en real-time monitoring en waarschuwingen bieden
Network Access Control kan ook LLMNR-vergiftigingsaanvallen voorkomen door netwerksegmentatie afdwingen, wat het aanvalsoppervlak van het netwerk beperkt en ongeautoriseerde toegang tot gevoelige gegevens of kritieke systemen beperkt.
3. Implementeer netwerksegmentatie
U kunt de reikwijdte van LLMNR-vergiftigingsaanvallen beperken door het verdelen van uw netwerk in kleinere subnetten. Dit kan worden gedaan door het gebruik van VLAN's, firewalls en andere netwerkbeveiligingsmaatregelen.
4. Gebruik sterke wachtwoorden
In het geval dat er een LLMNR-vergiftigingsaanval plaatsvindt, is het raadzaam om sterke wachtwoorden te gebruiken die niet gemakkelijk te kraken zijn. Zwakke wachtwoorden, zoals die op basis van uw naam of een reeks cijfers, kunnen gemakkelijk worden geraden of bestaan al in een woordenboektabel of een wachtwoordlijst.
Zorg voor een sterke veiligheidshouding
Het handhaven van een goede beveiligingshouding is een cruciaal aspect van het beschermen van uw systemen en gegevens tegen cyberdreigingen zoals LLMNR-vergiftiging. Dit vereist een combinatie van proactieve maatregelen, zoals het implementeren van sterke wachtwoorden, het regelmatig updaten van software en systemen en het voorlichten van werknemers over best practices op het gebied van beveiliging.
Door continu beveiligingsmaatregelen te beoordelen en te verbeteren, kan uw organisatie inbreuken en bedreigingen voor blijven en uw bedrijfsmiddelen beschermen tegen aanvallen.
