Paikalliseen verkkoon yhdistetyt Windows-tietokoneet voivat olla haavoittuvia. Pitäisikö sinun suojata LLMNR-käyttösi vai tehdä ilman ominaisuutta kokonaan?
Windows Active Directory on Microsoftin luoma palvelu, jota käytetään edelleen lukuisissa organisaatioissa ympäri maailmaa. Se yhdistää ja tallentaa tietoja useista samassa verkossa olevista laitteista ja palveluista. Mutta jos yrityksen Active Directory ei ole oikein ja turvallisesti määritetty, se voi johtaa joukkoon haavoittuvuuksia ja hyökkäyksiä.
Yksi suosituimmista Active Directory -hyökkäyksistä on LLMNR-myrkytyshyökkäys. Jos onnistuu, LLMNR-myrkytyshyökkäys voi antaa hakkereille järjestelmänvalvojan käyttöoikeudet ja oikeudet Active Directory -palveluun.
Lue eteenpäin saadaksesi selville, kuinka LLMNR-myrkytyshyökkäys toimii ja kuinka estää sen tapahtuminen sinulle.
Mikä on LLMNR?
LLMNR on lyhenne sanoista Link-Local Multicast Name Resolution. Se on nimenselvityspalvelu tai protokolla, jota käytetään Windowsissa samassa paikallisverkossa olevan isännän IP-osoitteen selvittämiseen, kun DNS-palvelin ei ole käytettävissä.
LLMNR toimii lähettämällä kyselyn kaikille verkon laitteille ja pyytää tiettyä isäntänimeä. Se tekee tämän käyttämällä Name Resolution Request (NRR) -pakettia, jonka se lähettää kaikille kyseisen verkon laitteille. Jos on laite, jolla on tämä isäntänimi, se vastaa sen IP-osoitteen sisältävällä Name Resolution Response (NRP) -paketilla ja muodostaa yhteyden pyytävän laitteen kanssa.
Valitettavasti LLMNR ei ole kaukana turvallisesta isäntänimen selvityksestä. Sen suurin heikkous on, että se käyttää kommunikoinnissa käyttäjätunnusta vastaavan salasanan rinnalla.
Mikä on LLMNR-myrkytys?
LLMNR-myrkytys on eräänlainen man-in-the-middle-hyökkäys, joka hyödyntää LLMNR-protokollaa (Link-Local Multicast Name Resolution) Windows-järjestelmissä. LLMNR-myrkytyksessä hyökkääjä kuuntelee ja odottaa siepatakseen kohteen pyynnön. Jos tämä henkilö onnistuu, hän voi lähettää haitallisen LLMNR-vastauksen kohdetietokoneeseen ja huijata sitä lähettää heille arkaluonteisia tietoja (käyttäjätunnus ja salasana hash) aiotun verkon sijaan resurssi. Tätä hyökkäystä voidaan käyttää valtuustietojen varastamiseen, verkon tiedustelemiseen tai uusien hyökkäysten käynnistämiseen kohdejärjestelmään tai verkkoon.
Kuinka LLMNR-myrkytys toimii?
Useimmissa tapauksissa LLMNR saavutetaan käyttämällä Responder-nimistä työkalua. Se on suosittu avoimen lähdekoodin komentosarja, joka on yleensä kirjoitettu pythonilla ja jota käytetään LLMNR-, NBT-NS- ja MDNS-myrkytyksessä. Se määrittää useita palvelimia, kuten SMB, LDAP, Auth, WDAP jne. Verkossa suoritettuna Responder-komentosarja kuuntelee muiden verkon laitteiden LLMNR-kyselyitä ja suorittaa niitä vastaan välimieshyökkäyksiä. Työkalua voidaan käyttää todennustietojen tallentamiseen, järjestelmiin pääsyyn ja muiden haitallisten toimien suorittamiseen.
Kun hyökkääjä suorittaa vastauskomentosarjan, komentosarja kuuntelee hiljaa tapahtumia ja LLMNR-kyselyjä. Kun sellainen tapahtuu, se lähettää heille myrkyllisiä vastauksia. Jos nämä huijaushyökkäykset onnistuvat, vastaaja näyttää kohteen käyttäjänimen ja salasanan tiivisteen.
Hyökkääjä voi sitten yrittää murtaa salasanatiivisteen käyttämällä erilaisia salasanan murtamiseen tarkoitettuja työkaluja. Salasanatiiviste on yleensä NTLMv1-tiiviste. Jos kohteen salasana on heikko, se pakotettaisiin raa'asti ja murrettaisiin hetkessä. Ja kun näin tapahtuu, hyökkääjä voisi kirjautua käyttäjän tilille, esiintyä uhriksi, asentaa haittaohjelmia tai suorittaa muita toimintoja, kuten verkon tiedustelua ja tietoja suodattaminen.
Ohita hash-hyökkäykset
Pelottava asia tässä hyökkäyksessä on, että joskus salasanan tiivistettä ei tarvitse murtaa. Itse hashia voidaan käyttää hash-hyökkäyksen ohittamiseen. Pass the hash -hyökkäys on sellainen, jossa kyberrikollinen käyttää murtamatonta salasanahajautusta päästäkseen käyttäjän tilille ja todentaakseen itsensä.
Normaalissa todennusprosessissa kirjoitat salasanasi pelkkänä tekstinä. Salasana tiivistetään sitten salausalgoritmilla (kuten MD5 tai SHA1) ja sitä verrataan järjestelmän tietokantaan tallennettuun tiivistettyyn versioon. Jos tiivisteet täsmäävät, sinusta tulee todennettu. Mutta tiivistehyökkäyksen ohituksessa hyökkääjä sieppaa salasanan hajautuskoodin todennuksen aikana ja käyttää sitä uudelleen todentamiseen tietämättä pelkkää tekstin salasanaa.
Kuinka ehkäistä LLMNR-myrkytys?
LLMNR-myrkytys saattaa olla suosittu kyberhyökkäys, mikä tarkoittaa myös sitä, että on olemassa testattuja ja luotettuja toimenpiteitä sen lieventämiseksi ja sinun ja omaisuutesi turvaamiseksi. Joitakin näistä toimenpiteistä ovat palomuurien käyttö, monitekijätodennus, IPSec, vahvat salasanat ja LLMNR: n poistaminen kokonaan käytöstä.
1. Poista LLMNR käytöstä
Paras tapa välttää LLMNR-myrkytyshyökkäys sinulle on poistaa LLMNR-protokolla käytöstä verkossasi. Jos et käytä palvelua, lisäturvariskiä ei tarvita.
Jos tarvitset tällaisia toimintoja, parempi ja turvallisempi vaihtoehto on Domain Name System (DNS) -protokolla.
2. Edellyttää verkon käytön valvontaa
Verkkokäytön valvonta estää LLMNR-myrkytyshyökkäykset ottamalla käyttöön vahvoja suojauskäytäntöjä ja kulunvalvontatoimenpiteitä kaikissa verkkolaitteissa. Se voi havaita ja estää luvattomien laitteiden pääsyn verkkoon ja tarjota reaaliaikaista valvontaa ja hälytyksiä
Verkkokäytön valvonta voi myös estää LLMNR-myrkytyshyökkäykset verkon segmentointia, joka rajoittaa verkon hyökkäyspintaa ja luvatonta pääsyä arkaluontoisiin tietoihin tai kriittisiin järjestelmiin.
3. Ota käyttöön verkon segmentointi
Voit rajoittaa LLMNR-myrkytyshyökkäysten laajuutta jakaa verkkosi pienempiin aliverkkoihin. Tämä voidaan tehdä käyttämällä VLAN-verkkoja, palomuureja ja muita verkon suojaustoimenpiteitä.
4. Käytä vahvoja salasanoja
Jos LLMNR-myrkytyshyökkäys tapahtuu, on suositeltavaa käyttää vahvoja salasanoja, joita ei voida helposti murtaa. Heikot salasanat, kuten nimeesi tai numerosarjaan perustuvat, voidaan helposti arvata tai ne ovat jo olemassa sanakirjataulukossa tai salasanaluettelossa.
Säilytä vahva turva-asento
Hyvän suoja-asennon ylläpitäminen on kriittinen osa järjestelmien ja tietojen suojaamista kyberuhkilta, kuten LLMNR-myrkytykseltä. Tämä edellyttää ennakoivien toimenpiteiden yhdistelmää, kuten vahvojen salasanojen käyttöönottoa, ohjelmistojen ja järjestelmien säännöllistä päivittämistä sekä työntekijöiden kouluttamista turvallisuuden parhaista käytännöistä.
Arvioimalla ja parantamalla jatkuvasti turvatoimia organisaatiosi voi pysyä tietomurtojen ja uhkien edellä ja suojata omaisuuttasi hyökkäyksiltä.
