LLMNR ポイズニング.

MITRE T1557.001 に該当する中間者攻撃手法。UDP/5355 上の Link-Local Multicast Name Resolution プロトコルを悪用し、被害者を攻撃者管理のホストに誘導する。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

MITRE T1557.001 に該当する中間者攻撃手法。UDP/5355 上の Link-Local Multicast Name Resolution プロトコルを悪用し、被害者を攻撃者管理のホストに誘導する。

LLMNR (RFC 4795) は DNS が失敗したときに Windows が使うフォールバックの名前解決プロトコルです。クライアントは未解決名について UDP/5355 のマルチキャストでクエリを投げ、同一リンク上の任意のホストが応答できます。同じブロードキャストドメインにいる攻撃者が自分の IP で応答し、被害者の SMB/HTTP クライアントに認証を行わせて NTLMv2 のチャレンジ・レスポンスを取得し、オフラインクラックや NTLM リレーに利用します。タイプミスや誤設定の共有、古いプリンタ向けに Windows は今も LLMNR を投げるため、内部ネットワーク攻撃として極めて成功率が高い手法です。対策はシンプルで、GPO の Turn off Multicast Name Resolution で LLMNR を無効化し、DNS のみに依存することです。検出は異常な UDP/5355 トラフィックや不審ホストからの 4624 イベントなどで行います。

LLMNR ポイズニング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: LLMNR スプーフィング, T1557.001。