LLMNR ポイズニング
LLMNR ポイズニング とは何ですか?
LLMNR ポイズニングMITRE T1557.001 に該当する中間者攻撃手法。UDP/5355 上の Link-Local Multicast Name Resolution プロトコルを悪用し、被害者を攻撃者管理のホストに誘導する。
LLMNR (RFC 4795) は DNS が失敗したときに Windows が使うフォールバックの名前解決プロトコルです。クライアントは未解決名について UDP/5355 のマルチキャストでクエリを投げ、同一リンク上の任意のホストが応答できます。同じブロードキャストドメインにいる攻撃者が自分の IP で応答し、被害者の SMB/HTTP クライアントに認証を行わせて NTLMv2 のチャレンジ・レスポンスを取得し、オフラインクラックや NTLM リレーに利用します。タイプミスや誤設定の共有、古いプリンタ向けに Windows は今も LLMNR を投げるため、内部ネットワーク攻撃として極めて成功率が高い手法です。対策はシンプルで、GPO の Turn off Multicast Name Resolution で LLMNR を無効化し、DNS のみに依存することです。検出は異常な UDP/5355 トラフィックや不審ホストからの 4624 イベントなどで行います。
● 例
- 01
ゲスト VLAN にいる攻撃者が誤入力された共有名に応答することで、1 時間に数十件の NTLMv2 ハッシュを収集する。
- 02
LLMNR ポイズニングと ntlmrelayx を組み合わせ、署名未強制の SMB ターゲットへ認証をリレーする。
● よくある質問
LLMNR ポイズニング とは何ですか?
MITRE T1557.001 に該当する中間者攻撃手法。UDP/5355 上の Link-Local Multicast Name Resolution プロトコルを悪用し、被害者を攻撃者管理のホストに誘導する。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
LLMNR ポイズニング とはどういう意味ですか?
MITRE T1557.001 に該当する中間者攻撃手法。UDP/5355 上の Link-Local Multicast Name Resolution プロトコルを悪用し、被害者を攻撃者管理のホストに誘導する。
LLMNR ポイズニング からどのように防御しますか?
LLMNR ポイズニング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
LLMNR ポイズニング の別名は何ですか?
一般的な別名: LLMNR スプーフィング, T1557.001。