LLMNR-Poisoning
Was ist LLMNR-Poisoning?
LLMNR-PoisoningAdversary-in-the-Middle-Technik (MITRE T1557.001), die das Link-Local Multicast Name Resolution-Protokoll auf UDP/5355 missbraucht, um Opfer auf vom Angreifer kontrollierte Hosts umzuleiten.
LLMNR (RFC 4795) ist ein Windows-Fallback-Namensaufloesungsprotokoll, das einspringt, wenn DNS scheitert. Clients senden eine UDP/5355-Multicast-Anfrage fuer den unaufgeloesten Namen, und jeder Host im lokalen Link darf antworten. Ein Angreifer im selben Broadcast-Domain antwortet mit seiner eigenen IP und veranlasst den SMB- oder HTTP-Client des Opfers zur Authentifizierung, um NTLMv2-Challenge-Response-Material fuer Offline-Cracking oder NTLM-Relay zu erbeuten. LLMNR-Poisoning gehoert zu den zuverlaessigsten internen Angriffen, weil Windows es weiterhin bei Tippfehlern, falsch konfigurierten Shares und alten Druckern abfragt. Die Gegenmassnahme ist einfach: LLMNR per GPO deaktivieren (Turn off Multicast Name Resolution) und ausschliesslich DNS nutzen. Detektion: ungewoehnlicher UDP/5355-Traffic und Event-ID 4624 von verdaechtigen Hosts.
● Beispiele
- 01
Ein Angreifer im Gast-VLAN erntet binnen einer Stunde Dutzende NTLMv2-Hashes, indem er auf vertippte Share-Namen antwortet.
- 02
Kombination von LLMNR-Poisoning mit ntlmrelayx zum Relay erfasster Authentifizierungen an ein unsigniertes SMB-Ziel.
● Häufige Fragen
Was ist LLMNR-Poisoning?
Adversary-in-the-Middle-Technik (MITRE T1557.001), die das Link-Local Multicast Name Resolution-Protokoll auf UDP/5355 missbraucht, um Opfer auf vom Angreifer kontrollierte Hosts umzuleiten. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet LLMNR-Poisoning?
Adversary-in-the-Middle-Technik (MITRE T1557.001), die das Link-Local Multicast Name Resolution-Protokoll auf UDP/5355 missbraucht, um Opfer auf vom Angreifer kontrollierte Hosts umzuleiten.
Wie funktioniert LLMNR-Poisoning?
LLMNR (RFC 4795) ist ein Windows-Fallback-Namensaufloesungsprotokoll, das einspringt, wenn DNS scheitert. Clients senden eine UDP/5355-Multicast-Anfrage fuer den unaufgeloesten Namen, und jeder Host im lokalen Link darf antworten. Ein Angreifer im selben Broadcast-Domain antwortet mit seiner eigenen IP und veranlasst den SMB- oder HTTP-Client des Opfers zur Authentifizierung, um NTLMv2-Challenge-Response-Material fuer Offline-Cracking oder NTLM-Relay zu erbeuten. LLMNR-Poisoning gehoert zu den zuverlaessigsten internen Angriffen, weil Windows es weiterhin bei Tippfehlern, falsch konfigurierten Shares und alten Druckern abfragt. Die Gegenmassnahme ist einfach: LLMNR per GPO deaktivieren (Turn off Multicast Name Resolution) und ausschliesslich DNS nutzen. Detektion: ungewoehnlicher UDP/5355-Traffic und Event-ID 4624 von verdaechtigen Hosts.
Wie schützt man sich gegen LLMNR-Poisoning?
Schutzmaßnahmen gegen LLMNR-Poisoning kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für LLMNR-Poisoning?
Übliche alternative Bezeichnungen: LLMNR-Spoofing, T1557.001.
● Verwandte Begriffe
- attacks№ 715
NBT-NS-Poisoning
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
- attacks№ 924
Responder-Angriff
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
- attacks№ 746
NTLM-Relay-Angriff
Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.
- attacks№ 1057
SMB-Relay-Angriff
Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.