Ataque LLMNR / NBT-NS – Como se proteger?

Portugues | October 28, 2021 | 2 min read

Resolução de nomes de multicast local de link (LLMNR) e serviço de nomes NetBIOS (NBT-NS) são dois protocolos usados para identificar um endereço de host em uma rede quando a resolução de nomes DNS, que é o método convencional, falha em fazê-lo.

Quando um servidor DNS não consegue resolver uma solicitação de uma máquina solicitante, esta última transmite uma mensagem para seus computadores pares, solicitando a localização do servidor necessário. Os hackers aproveitam essa operação para roubar as credenciais da máquina do solicitante.

Os hackers que residem silenciosamente na rede ouvirão a comunicação da rede e aproveitarão a oportunidade para responder a uma solicitação LLNMR / NBT-NS da máquina do solicitante. A máquina solicitante, ao receber a comunicação do hacker, pensa que é uma fonte autêntica e, sem saber, compartilha seu hash NTLMv2, resultando em um vazamento de credencial.

Como ocorre um ataque LLMNR / NBT-NS?

  1. Um usuário deseja acessar o servidor de arquivos em \\ jojofiles, mas solicita \\ jojosfile sem saber.

  2. Como esperado, o servidor DNS não pode reconhecer o host e não retorna o servidor de arquivos necessário.

  3. A máquina solicitante pergunta às outras máquinas da rede se elas sabem a localização do \\ jojosfile.

  4. Um hacker intercepta a mensagem e responde à máquina confirmando que ela tem a localização de \\ jojosfile.

  5. A máquina solicitante acredita no hacker e fornece seu nome de usuário e hash NTLMv2. O hacker agora pode quebrar o hash usando ferramentas como o Hashcat para assumir o controle da conta e usá-la para fins maliciosos.

Quais são as maneiras de prevenir um ataque LLMNR / NBT-NS?

  • Desativar LLMNR e NBT-NS

(i) Para desabilitar LLMNR: Abra o Editor de Política de Grupo. Navegue até Política do computador local> Configuração do computador> Modelos administrativos> Rede> Cliente DNS. Ative Desative a resolução de nomes de multicast. Isso desativa o LLMNR.

(ii) Para desabilitar o NBT-NS: Abra o Painel de Controle. Vá para Rede e Internet> Conexões de rede. Visualize as propriedades do seu adaptador de rede. Escolha o protocolo da Internet versão 4 (TCP / IPv4) e clique em Propriedades.

Na guia Geral, clique em Avançado.

Escolha a guia WINS. Selecione Desativar NetBIOS sobre TCP / IP e clique em OK. Isso desativa o NBT-NS.

  • Se a política da sua organização não permitir que você desative esses protocolos, você pode implementar a seguinte solução alternativa:

(i) Certifique-se de que os invasores não tenham acesso à rede, exigindo o Controle de Acesso à Rede (NAC).

(ii) Definir políticas de senha fortes para usuários na organização, para que seja mais difícil para os invasores quebrar o hash.

(iii) Monitore logons incomuns de usuários para identificar quaisquer sinais de comprometimento da conta.

Isso pode ser feito usando soluções de auditoria do Active Directory como ADAudit Plus.

Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.

Tags : ADAudit Plus / ciberataque / cibersegurança / llmnr/nbt-ns / ManageEngine / prevenção de ataques / segurança de ti / tecnologia
Nayla Loik