Resolução de nomes de multicast local de link (LLMNR) e serviço de nomes NetBIOS (NBT-NS) são dois protocolos usados para identificar um endereço de host em uma rede quando a resolução de nomes DNS, que é o método convencional, falha em fazê-lo.
Quando um servidor DNS não consegue resolver uma solicitação de uma máquina solicitante, esta última transmite uma mensagem para seus computadores pares, solicitando a localização do servidor necessário. Os hackers aproveitam essa operação para roubar as credenciais da máquina do solicitante.
Os hackers que residem silenciosamente na rede ouvirão a comunicação da rede e aproveitarão a oportunidade para responder a uma solicitação LLNMR / NBT-NS da máquina do solicitante. A máquina solicitante, ao receber a comunicação do hacker, pensa que é uma fonte autêntica e, sem saber, compartilha seu hash NTLMv2, resultando em um vazamento de credencial.
Como ocorre um ataque LLMNR / NBT-NS?
-
Um usuário deseja acessar o servidor de arquivos em \\ jojofiles, mas solicita \\ jojosfile sem saber.
-
Como esperado, o servidor DNS não pode reconhecer o host e não retorna o servidor de arquivos necessário.
-
A máquina solicitante pergunta às outras máquinas da rede se elas sabem a localização do \\ jojosfile.
-
Um hacker intercepta a mensagem e responde à máquina confirmando que ela tem a localização de \\ jojosfile.
-
A máquina solicitante acredita no hacker e fornece seu nome de usuário e hash NTLMv2. O hacker agora pode quebrar o hash usando ferramentas como o Hashcat para assumir o controle da conta e usá-la para fins maliciosos.
Quais são as maneiras de prevenir um ataque LLMNR / NBT-NS?
-
Desativar LLMNR e NBT-NS
(i) Para desabilitar LLMNR: Abra o Editor de Política de Grupo. Navegue até Política do computador local> Configuração do computador> Modelos administrativos> Rede> Cliente DNS. Ative Desative a resolução de nomes de multicast. Isso desativa o LLMNR.
(ii) Para desabilitar o NBT-NS: Abra o Painel de Controle. Vá para Rede e Internet> Conexões de rede. Visualize as propriedades do seu adaptador de rede. Escolha o protocolo da Internet versão 4 (TCP / IPv4) e clique em Propriedades.
Na guia Geral, clique em Avançado.
Escolha a guia WINS. Selecione Desativar NetBIOS sobre TCP / IP e clique em OK. Isso desativa o NBT-NS.
-
Se a política da sua organização não permitir que você desative esses protocolos, você pode implementar a seguinte solução alternativa:
(i) Certifique-se de que os invasores não tenham acesso à rede, exigindo o Controle de Acesso à Rede (NAC).
(ii) Definir políticas de senha fortes para usuários na organização, para que seja mais difícil para os invasores quebrar o hash.
(iii) Monitore logons incomuns de usuários para identificar quaisquer sinais de comprometimento da conta.
Isso pode ser feito usando soluções de auditoria do Active Directory como ADAudit Plus.
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.
