Yerel ağınıza bağlı Windows PC'ler savunmasız olabilir. LLMNR kullanımınızı güvenceye mi almalısınız yoksa bu özellikten tamamen mi vazgeçmelisiniz?
Windows Active Directory, Microsoft tarafından oluşturulan ve bugün hala dünya çapında çok sayıda kuruluşta kullanılan bir hizmettir. Aynı ağdaki birden çok cihaz ve hizmetle ilgili bilgileri birbirine bağlar ve depolar. Ancak bir şirketin Active Directory'si düzgün ve güvenli bir şekilde yapılandırılmazsa, bir dizi güvenlik açığına ve saldırıya yol açabilir.
En popüler Active Directory saldırılarından biri, LLMNR Poisoning saldırısıdır. Başarılı olursa, bir LLMNR zehirleme saldırısı, bir bilgisayar korsanına Active Directory hizmetine yönetici erişimi ve ayrıcalıkları verebilir.
LLMNR zehirlenme saldırısının nasıl çalıştığını ve bunun size olmasını nasıl önleyeceğinizi öğrenmek için okumaya devam edin.
LLMNR Nedir?
LLMNR, Bağlantı-Yerel Çok Noktaya Yayın Adı Çözünürlüğü anlamına gelir. DNS sunucusu mevcut olmadığında aynı yerel ağdaki bir ana bilgisayarın IP adresini çözmek için Windows'ta kullanılan bir ad çözümleme hizmeti veya protokolüdür.
LLMNR, belirli bir ana bilgisayar adı isteyen bir ağdaki tüm cihazlara bir sorgu göndererek çalışır. Bunu, o ağdaki tüm cihazlara yayınladığı bir Ad Çözümleme İsteği (NRR) paketi kullanarak yapar. Bu ana bilgisayar adına sahip bir cihaz varsa, IP adresini içeren bir Ad Çözümleme Yanıtı (NRP) paketi ile yanıt verecek ve talep eden cihazla bağlantı kuracaktır.
Ne yazık ki, LLMNR güvenli bir ana bilgisayar adı çözümleme modu olmaktan çok uzaktır. Ana zayıflığı, iletişim kurarken ilgili parolanın yanında kişinin kullanıcı adını kullanmasıdır.
LLMNR Zehirlenmesi Nedir?
LLMNR Zehirlenmesi, Windows sistemlerindeki LLMNR (Link-Local Multicast Name Resolution) protokolünü kullanan bir tür ortadaki adam saldırısıdır. LLMNR Poisoning'de, bir saldırgan dinler ve hedeften gelen bir talebi engellemek için bekler. Başarılı olursa, bu kişi hedef bilgisayara kötü amaçlı bir LLMNR yanıtı göndererek onu kandırabilir. amaçlanan ağ yerine onlara hassas bilgiler (kullanıcı adı ve parola karması) göndermek kaynak. Bu saldırı, kimlik bilgilerini çalmak, ağ keşfi gerçekleştirmek veya hedef sistem veya ağ üzerinde başka saldırılar başlatmak için kullanılabilir.
LLMNR Zehirlenmesi Nasıl Çalışır?
Çoğu durumda, LLMNR, Responder adlı bir araç kullanılarak elde edilir. Genellikle python ile yazılmış ve LLMNR, NBT-NS ve MDNS zehirlenmesi için kullanılan popüler bir açık kaynak komut dosyasıdır. SMB, LDAP, Auth, WDAP, vb. gibi birden çok sunucu kurar. Responder betiği bir ağ üzerinde çalıştırıldığında, o ağdaki diğer cihazlar tarafından yapılan LLMNR sorgularını dinler ve bunlara ortadaki adam saldırıları gerçekleştirir. Araç, kimlik doğrulama bilgilerini yakalamak, sistemlere erişim elde etmek ve diğer kötü amaçlı etkinlikleri gerçekleştirmek için kullanılabilir.
Saldırgan yanıtlayıcı komut dosyasını yürüttüğünde, komut dosyası olayları ve LLMNR sorgularını sessizce dinler. Biri gerçekleştiğinde, onlara zehirli yanıtlar gönderir. Bu yanıltma saldırıları başarılı olursa, yanıt veren kişi hedefin kullanıcı adını ve parola karmasını görüntüler.
Saldırgan daha sonra çeşitli parola kırma araçlarını kullanarak parola karmasını kırmaya çalışabilir. Parola karması genellikle bir NTLMv1 karmasıdır. Hedefin şifresi zayıfsa kaba kuvvetle uygulanır ve çok kısa sürede veya hiç zaman kaybetmeden kırılır. Ve bu olduğunda, saldırgan kullanıcının hesabına giriş yapabilir, kullanıcının kimliğine bürünebilir. kurban edin, kötü amaçlı yazılım yükleyin veya ağ keşfi ve verileri gibi diğer etkinlikleri gerçekleştirin sızma.
Hash Saldırılarını Geçin
Bu saldırıyla ilgili korkutucu olan şey, bazen şifre karmasının kırılmasına gerek olmamasıdır. Hash'in kendisi, hash saldırısını geçmek için kullanılabilir. Karma geçiş saldırısı, siber suçlunun, kullanıcının hesabına erişim kazanmak ve kendi kimliğini doğrulamak için kırılmamış parola karmasını kullandığı saldırıdır.
Normal bir kimlik doğrulama sürecinde, parolanızı düz metin olarak girersiniz. Parola daha sonra bir kriptografik algoritma (MD5 veya SHA1 gibi) ile hashlenir ve sistem veritabanında saklanan hashing uygulanmış sürümle karşılaştırılır. Karmalar eşleşirse, kimliğiniz doğrulanır. Ancak, hash saldırısında, saldırgan kimlik doğrulama sırasında parola karmasını durdurur ve düz metin parolasını bilmeden kimlik doğrulaması yapmak için bunu yeniden kullanır.
LLMNR Zehirlenmesi Nasıl Önlenir?
LLMNR Zehirlenmesi popüler bir siber saldırı olabilir, bu aynı zamanda onu hafifletmek ve sizi ve varlıklarınızı güvence altına almak için test edilmiş ve güvenilir önlemlerin olduğu anlamına gelir. Bu önlemlerden bazıları, güvenlik duvarlarının kullanımını, çok faktörlü kimlik doğrulamayı, IPSec'i, güçlü parolaları ve LLMNR'yi tamamen devre dışı bırakmayı içerir.
1. LLMNR'yi devre dışı bırak
LLMNR zehirlenmesi saldırısının başınıza gelmesini önlemenin en iyi yolu, ağınızdaki LLMNR protokolünü devre dışı bırakmaktır. Hizmeti kullanmıyorsanız, ek güvenlik riskine sahip olmanıza gerek yoktur.
Böyle bir işlevselliğe ihtiyacınız varsa, daha iyi ve daha güvenli alternatif Etki Alanı Adı Sistemi (DNS) protokolüdür.
2. Ağ Erişim Kontrolü Gerektir
Ağ Erişim Kontrolü, tüm ağ cihazlarında güçlü güvenlik politikaları ve erişim kontrol önlemleri uygulayarak LLMNR zehirlenmesi saldırılarını önler. Yetkisiz cihazların ağa erişimini tespit edip engelleyebilir ve gerçek zamanlı izleme ve uyarılar sağlayabilir.
Ağ Erişim Kontrolü, LLMNR zehirlenmesi saldırılarını da önleyebilir. ağ bölümlemesini zorlamakağın saldırı yüzeyini sınırlayan ve hassas verilere veya kritik sistemlere yetkisiz erişimi kısıtlayan.
3. Ağ Bölümlemesini Uygulayın
LLMNR Zehirleme saldırılarının kapsamını şu şekilde sınırlayabilirsiniz: ağınızı daha küçük alt ağlara bölmek. Bu, VLAN'lar, güvenlik duvarları ve diğer ağ güvenlik önlemleri kullanılarak yapılabilir.
4. Güçlü Parolalar Kullanın
Bir LLMNR Zehirleme Saldırısı olması durumunda, kolayca kırılamayan güçlü parolaların kullanılması tavsiye edilir. Adınıza veya bir sayı dizisine dayalı olanlar gibi zayıf parolalar kolayca tahmin edilebilir veya bir sözlük tablosunda veya bir parola listesinde zaten bulunur.
Güçlü Bir Güvenlik Duruşu Sürdürün
İyi bir güvenlik duruşu sürdürmek, sistemlerinizi ve verilerinizi LLMNR Poisoning gibi siber tehditlere karşı korumanın kritik bir yönüdür. Bunu yapmak, güçlü parolalar uygulamak, yazılımları ve sistemleri düzenli olarak güncellemek ve çalışanları en iyi güvenlik uygulamaları konusunda eğitmek gibi proaktif önlemlerin bir kombinasyonunu gerektirir.
Kuruluşunuz güvenlik önlemlerini sürekli olarak değerlendirerek ve iyileştirerek ihlallerin ve tehditlerin bir adım önünde olabilir ve varlıklarınızı saldırılara karşı koruyabilir.