خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

مسمومیت LLMNR چیست و چگونه می توان از آن پیشگیری کرد؟

رایانه های شخصی ویندوز متصل به شبکه محلی شما ممکن است آسیب پذیر باشند. آیا باید استفاده از LLMNR خود را ایمن کنید یا کاملاً بدون این ویژگی عمل کنید؟

Windows Active Directory سرویسی است که توسط مایکروسافت ایجاد شده است که هنوز هم در بسیاری از سازمان ها در سراسر جهان استفاده می شود. اطلاعات مربوط به چندین دستگاه و سرویس در یک شبکه را با هم متصل و ذخیره می کند. اما اگر اکتیو دایرکتوری یک شرکت به درستی و ایمن پیکربندی نشده باشد، می تواند منجر به یک سری آسیب پذیری ها و حملات شود.

یکی از محبوب‌ترین حملات اکتیو دایرکتوری، حمله LLMNR Poisoning است. در صورت موفقیت آمیز بودن، حمله مسمومیت LLMNR می تواند به یک هکر دسترسی و امتیازاتی به سرویس Active Directory بدهد.

در ادامه بخوانید تا بفهمید حمله مسمومیت LLMNR چگونه کار می کند و چگونه از وقوع آن برای شما جلوگیری کنید.

LLMNR چیست؟

LLMNR مخفف Link-Local Multicast Name Resolution است. این یک سرویس یا پروتکل وضوح نام است که در ویندوز برای حل کردن آدرس IP یک میزبان در همان شبکه محلی زمانی که سرور DNS در دسترس نیست استفاده می شود.

LLMNR با ارسال یک پرس و جو به همه دستگاه ها در سراسر شبکه که یک نام میزبان خاص را درخواست می کنند، کار می کند. این کار را با استفاده از یک بسته Name Resolution Request (NRR) انجام می دهد که برای همه دستگاه های موجود در آن شبکه پخش می کند. اگر دستگاهی با آن نام میزبان وجود داشته باشد، با یک بسته Name Resolution Response (NRP) حاوی آدرس IP آن پاسخ می دهد و با دستگاه درخواست کننده ارتباط برقرار می کند.

متأسفانه، LLMNR از یک حالت امن برای تفکیک نام میزبان فاصله زیادی دارد. ضعف اصلی آن این است که هنگام برقراری ارتباط از نام کاربری خود در کنار رمز عبور مربوطه استفاده می کند.

مطلب مرتبط:   مقدمه ای عمیق بر استراتژی دفاعی DDOS: نحوه محافظت در برابر حملات بات نت

مسمومیت LLMNR چیست؟

مسمومیت LLMNR نوعی حمله انسان در وسط است که از پروتکل LLMNR (Link-Local Multicast Name Resolution) در سیستم های ویندوز سوء استفاده می کند. در LLMNR Poisoning، مهاجم گوش می دهد و منتظر می ماند تا درخواستی از هدف را رهگیری کند. در صورت موفقیت، این شخص می تواند یک پاسخ مخرب LLMNR را به رایانه مورد نظر ارسال کند و آن را فریب دهد تا اطلاعات حساس (هش نام کاربری و رمز عبور) را به جای منبع شبکه مورد نظر برای آنها ارسال کند. این حمله می تواند برای سرقت اعتبار، انجام شناسایی شبکه، یا انجام حملات بیشتر به سیستم یا شبکه مورد استفاده قرار گیرد.

چگونه مسمومیت LLMNR کار می کند؟

تصویری از یک حمله مسمومیت LLMNR

در بیشتر موارد، LLMNR با استفاده از ابزاری به نام Responder به دست می آید. این یک اسکریپت منبع باز محبوب است که معمولاً در پایتون نوشته می شود و برای مسمومیت LLMNR، NBT-NS و MDNS استفاده می شود. چندین سرور مانند SMB، LDAP، Auth، WDAP، و غیره را راه‌اندازی می‌کند. اسکریپت Responder وقتی در یک شبکه اجرا می‌شود، به پرس‌وجوهای LLMNR ساخته‌شده توسط دستگاه‌های دیگر در آن شبکه گوش می‌دهد و حملات Man-in-the-Middle را بر روی آنها انجام می‌دهد. از این ابزار می توان برای گرفتن اعتبارنامه های احراز هویت، دسترسی به سیستم ها و انجام سایر فعالیت های مخرب استفاده کرد.

هنگامی که یک مهاجم اسکریپت پاسخ دهنده را اجرا می کند، اسکریپت بی سر و صدا به رویدادها و پرس و جوهای LLMNR گوش می دهد. هنگامی که یکی رخ می دهد، پاسخ های مسموم به آنها ارسال می کند. اگر این حملات جعل موفقیت آمیز باشد، پاسخ دهنده نام کاربری و هش رمز عبور هدف را نمایش می دهد.

سپس مهاجم می تواند سعی کند هش رمز عبور را با استفاده از ابزارهای مختلف شکستن رمز عبور شکست دهد. رمز عبور معمولاً هش NTLMv1 است. اگر رمز عبور هدف ضعیف باشد، در کمترین زمان ممکن است اجباری و شکسته شود. و هنگامی که این اتفاق می افتد، مهاجم می تواند به حساب کاربر وارد شود، هویت قربانی را جعل کند، بدافزار نصب کند، یا فعالیت های دیگری مانند شناسایی شبکه و استخراج داده ها را انجام دهد.

مطلب مرتبط:   آیا داده ها در Cloud Secure ذخیره می شوند؟

از حملات هش عبور کنید

نکته ترسناک در مورد این حمله این است که گاهی اوقات هش رمز عبور نیازی به کرک ندارد. خود هش می تواند در یک پاس حمله هش استفاده شود. عبور از حمله هش، حمله ای است که در آن مجرم سایبری از هش رمز عبور شکسته نشده برای دسترسی به حساب کاربری و احراز هویت خود استفاده می کند.

در یک فرآیند عادی احراز هویت، رمز عبور خود را به صورت متن ساده وارد می‌کنید. سپس رمز عبور با یک الگوریتم رمزنگاری (مانند MD5 یا SHA1) هش شده و با نسخه هش شده ذخیره شده در پایگاه داده سیستم مقایسه می شود. اگر هش ها مطابقت داشته باشند، احراز هویت می شوید. اما در یک حمله هش، مهاجم هش رمز عبور را در حین احراز هویت رهگیری می کند و بدون دانستن رمز عبور متن ساده از آن برای احراز هویت استفاده می کند.

چگونه از مسمومیت LLMNR جلوگیری کنیم؟

مسمومیت LLMNR ممکن است یک حمله سایبری محبوب باشد، این همچنین به این معنی است که اقدامات آزمایش شده و قابل اعتمادی برای کاهش آن و ایمن سازی شما و دارایی های شما وجود دارد. برخی از این اقدامات شامل استفاده از فایروال، احراز هویت چند عاملی، IPSec، رمزهای عبور قوی و غیرفعال کردن LLMNR به طور کلی است.

1. LLMNR را غیرفعال کنید

بهترین راه برای جلوگیری از وقوع حمله مسمومیت LLMNR این است که پروتکل LLMNR را در شبکه خود غیرفعال کنید. اگر از این سرویس استفاده نمی کنید، نیازی به خطر امنیتی اضافی نیست.

مطلب مرتبط:   باج افزار LockBit از Windows Defender برای بارگذاری Cobalt Strike سوء استفاده می کند

اگر به چنین عملکردی نیاز دارید، جایگزین بهتر و مطمئن‌تر پروتکل سیستم نام دامنه (DNS) است.

2. نیاز به کنترل دسترسی به شبکه

کنترل دسترسی شبکه با اعمال سیاست های امنیتی قوی و اقدامات کنترل دسترسی در تمام دستگاه های شبکه از حملات مسمومیت LLMNR جلوگیری می کند. این می تواند دستگاه های غیرمجاز را از دسترسی به شبکه شناسایی و مسدود کند و نظارت و هشدارهای بلادرنگ را ارائه دهد

کنترل دسترسی شبکه همچنین می‌تواند از حملات مسمومیت LLMNR با اجرای بخش‌بندی شبکه جلوگیری کند، که سطح حمله شبکه را محدود می‌کند و دسترسی غیرمجاز به داده‌های حساس یا سیستم‌های حیاتی را محدود می‌کند.

گرافیک دیجیتال شبکه مکعب غیرمتمرکز

3. تقسیم بندی شبکه را پیاده سازی کنید

شما می توانید دامنه حملات LLMNR Poisoning را با تقسیم شبکه خود به زیرشبکه های کوچکتر محدود کنید. این را می توان از طریق استفاده از VLAN ها، فایروال ها و سایر اقدامات امنیتی شبکه انجام داد.

4. از رمزهای عبور قوی استفاده کنید

در صورت وقوع یک حمله مسمومیت LLMNR، توصیه می شود از رمزهای عبور قوی استفاده کنید که به راحتی قابل شکستن نباشند. گذرواژه‌های ضعیف، مانند آنهایی که بر اساس نام شما یا دنباله‌ای از اعداد هستند، می‌توانند به راحتی حدس بزنند یا از قبل در جدول فرهنگ لغت یا فهرست رمز عبور وجود داشته باشند.

یک وضعیت امنیتی قوی حفظ کنید

حفظ یک وضعیت امنیتی خوب یک جنبه حیاتی برای محافظت از سیستم ها و داده های شما در برابر تهدیدات سایبری مانند مسمومیت LLMNR است. انجام این کار مستلزم ترکیبی از اقدامات پیشگیرانه، مانند پیاده سازی رمزهای عبور قوی، به روز رسانی منظم نرم افزارها و سیستم ها، و آموزش کارکنان در مورد بهترین شیوه های امنیتی است.

با ارزیابی و بهبود مستمر اقدامات امنیتی، سازمان شما می‌تواند جلوتر از نقض‌ها و تهدیدها باشد و از دارایی‌های شما در برابر حملات محافظت کند.