מחשבי Windows המחוברים לרשת המקומית שלך עלולים להיות פגיעים. האם אתה צריך לאבטח את השימוש שלך ב-LLMNR או להסתדר בלי התכונה לחלוטין?

Windows Active Directory הוא שירות שנוצר על ידי מיקרוסופט שנמצא בשימוש עד היום בארגונים רבים ברחבי העולם. הוא מחבר ומאחסן מידע על מכשירים ושירותים מרובים באותה רשת יחד. אבל אם ה-Active Directory של חברה לא מוגדר כראוי ומאובטח, זה עלול להוביל לסדרה של פגיעויות והתקפות.

אחת מהתקפות Active Directory הפופולריות יותר היא מתקפת הרעלת LLMNR. אם תצליח, התקפת הרעלת LLMNR יכולה לתת למנהל האקר גישה והרשאות לשירות Active Directory.

המשך לקרוא כדי לגלות כיצד פועלת התקפת הרעלת LLMNR וכיצד למנוע ממנה לקרות לך.

מה זה LLMNR?

LLMNR ראשי תיבות של Link-Local Multicast Name Resolution. זהו שירות או פרוטוקול לפתרון שמות המשמשים ב-Windows כדי לפתור את כתובת ה-IP של מארח באותה רשת מקומית כאשר שרת ה-DNS אינו זמין.

LLMNR פועל על ידי שליחת שאילתה לכל המכשירים ברשת המבקשת שם מארח ספציפי. הוא עושה זאת באמצעות חבילת Resolution Request (NRR) שהיא משדרת לכל המכשירים ברשת זו. אם יש מכשיר עם שם מארח זה, הוא יגיב עם חבילת Name Resolution Response (NRP) המכילה את כתובת ה-IP שלו ויצור חיבור עם המכשיר המבקש.

instagram viewer

לרוע המזל, LLMNR רחוק מלהיות מצב מאובטח לפתרון שם מארח. החולשה העיקרית שלו היא שהוא משתמש בשם המשתמש של האדם לצד הסיסמה המתאימה בעת תקשורת.

מהי הרעלת LLMNR?

הרעלת LLMNR היא סוג של התקפת אדם באמצע המנצלת את פרוטוקול LLMNR (Link-Local Multicast Name Resolution) במערכות Windows. ב-LLMNR Poisoning, תוקף מקשיב ומחכה ליירט בקשה מהמטרה. אם זה מצליח, אדם זה יכול לשלוח תגובת LLMNR זדונית למחשב יעד ולהערים אותו שליחת מידע רגיש (שם משתמש וסיסמא hash) אליהם במקום לרשת המיועדת מַשׁאָב. מתקפה זו יכולה לשמש לגניבת אישורים, ביצוע סיור רשת או הפעלת התקפות נוספות על מערכת היעד או הרשת.

כיצד פועלת הרעלת LLMNR?

ברוב המקרים, LLMNR מושגת באמצעות כלי הנקרא Responder. זהו סקריפט פופולרי בקוד פתוח שנכתב בדרך כלל ב-python ומשמש להרעלת LLMNR, NBT-NS ו-MDNS. זה מגדיר שרתים מרובים כמו SMB, LDAP, Auth, WDAP וכו'. כאשר הוא מופעל ברשת, סקריפט ה-Responder מאזין לשאילתות LLMNR שנעשו על ידי מכשירים אחרים ברשת זו ומבצע עליהם התקפות man-in-the-middle. ניתן להשתמש בכלי כדי ללכוד אישורי אימות, לקבל גישה למערכות ולבצע פעילויות זדוניות אחרות.

כאשר תוקף מבצע את סקריפט המגיב, התסריט מאזין בשקט לאירועים ושאילתות LLMNR. כאשר אחד מתרחש, זה שולח להם תגובות מורעלות. אם התקפות הזיוף הללו יצליחו, המגיב יציג את שם המשתמש והסיסמה של היעד.

לאחר מכן התוקף יכול לנסות לפצח את ה-hash של הסיסמה באמצעות כלים שונים לפיצוח סיסמאות. ה-hash של הסיסמה הוא בדרך כלל NTLMv1 hash. אם הסיסמה של היעד חלשה היא תיאלץ ותיפצח תוך זמן קצר. וכשזה קורה, התוקף יוכל להיכנס לחשבון המשתמש, להתחזות ל קורבן, להתקין תוכנות זדוניות או לבצע פעילויות אחרות כמו סיור רשת ונתונים הסתננות.

לעבור את התקפות האש

הדבר המפחיד בהתקפה הזו הוא שלפעמים אין צורך לפצח את ה-hash של הסיסמה. ניתן להשתמש ב-hash עצמו במעבר מתקפת ה-hash. העברת התקפת ה-hash היא כזו שבה פושע הסייבר משתמש ב-hash של הסיסמה הלא-פצועה כדי לקבל גישה לחשבון של המשתמש ולאמת את עצמו.

בתהליך אימות רגיל, אתה מזין את הסיסמה שלך בטקסט רגיל. לאחר מכן הסיסמה עוברת גיבוב עם אלגוריתם קריפטוגרפי (כגון MD5 או SHA1) ומשווה לגרסת הגיבוב המאוחסנת במסד הנתונים של המערכת. אם ה-hashs תואמים, אתה מקבל אימות. אבל, במעבר מתקפת ה-hash, התוקף מיירט את ה-hash של הסיסמה במהלך האימות ומשתמש בה שוב כדי לאמת מבלי לדעת את סיסמת הטקסט הפשוט.

כיצד למנוע הרעלת LLMNR?

הרעלת LLMNR עשויה להיות מתקפת סייבר פופולרית, זה גם אומר שיש אמצעים בדוקים ומהימנים כדי למתן אותה ולאבטח אותך ואת הנכסים שלך. חלק מהאמצעים הללו כוללים שימוש בחומות אש, אימות רב-גורמי, IPSec, סיסמאות חזקות והשבתת LLMNR כליל.

1. השבת את LLMNR

הדרך הטובה ביותר להימנע מהתקפת הרעלת LLMNR מלהתרחש לך היא להשבית את פרוטוקול LLMNR ברשת שלך. אם אינך משתמש בשירות, אין צורך בסיכון האבטחה הנוסף.

אם אתה צריך פונקציונליות כזו, החלופה הטובה והבטוחה יותר היא פרוטוקול מערכת שמות הדומיין (DNS).

2. דרוש בקרת גישה לרשת

בקרת גישה לרשת מונעת התקפות הרעלת LLMNR על ידי אכיפת מדיניות אבטחה חזקה ואמצעי בקרת גישה בכל מכשירי הרשת. זה יכול לזהות ולחסום מכשירים לא מורשים לגשת לרשת ולספק ניטור והתראות בזמן אמת

בקרת גישה לרשת יכולה גם למנוע התקפות הרעלת LLMNR על ידי אכיפת פילוח רשת, המגביל את משטח ההתקפה של הרשת ומגביל גישה לא מורשית לנתונים רגישים או למערכות קריטיות.

3. הטמעת פילוח רשת

אתה יכול להגביל את היקף התקפות הרעלת LLMNR על ידי חלוקת הרשת שלך לרשתות משנה קטנות יותר. ניתן לעשות זאת באמצעות שימוש ב-VLAN, חומות אש ואמצעי אבטחת רשת אחרים.

4. השתמש בסיסמאות חזקות

במקרה שמתרחש התקפת הרעלת LLMNR, רצוי להשתמש בסיסמאות חזקות שלא ניתן לפצח בקלות. סיסמאות חלשות, כגון אלו המבוססות על שמך או רצף של מספרים, ניתנות לניחוש בקלות או שכבר קיימות בטבלת מילון או ברשימת סיסמאות.

שמרו על תנוחת ביטחון חזקה

שמירה על תנוחת אבטחה טובה היא היבט קריטי בהגנה על המערכות והנתונים שלך מפני איומי סייבר כמו הרעלת LLMNR. פעולה זו דורשת שילוב של אמצעים יזומים, כמו הטמעת סיסמאות חזקות, עדכון שוטף של תוכנות ומערכות וחינוך עובדים לגבי שיטות עבודה מומלצות לאבטחה.

על ידי הערכה ושיפור מתמיד של אמצעי האבטחה, הארגון שלך יכול להישאר לפני הפרות ואיומים ולהגן על הנכסים שלך מפני התקפות.