Envenenamento LLMNR
O que é Envenenamento LLMNR?
Envenenamento LLMNRTecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
O LLMNR (RFC 4795) e um protocolo de resolucao de nomes de fallback do Windows usado quando o DNS falha. Clientes enviam uma consulta multicast em UDP/5355 pelo nome nao resolvido, e qualquer host do link local pode responder. Um atacante no mesmo dominio de broadcast responde com o proprio IP e induz o cliente SMB ou HTTP da vitima a autenticar, capturando o challenge-response NTLMv2 para crack offline ou NTLM relay. O envenenamento LLMNR e um dos ataques internos mais confiaveis porque o Windows ainda o consulta para erros de digitacao, compartilhamentos mal configurados e impressoras obsoletas. A mitigacao e direta: desabilitar o LLMNR via GPO (Turn off Multicast Name Resolution) e depender apenas do DNS. Sinais de deteccao incluem trafego UDP/5355 incomum e Event ID 4624 originados de hosts suspeitos.
● Exemplos
- 01
Um atacante em VLAN de visitantes coleta dezenas de hashes NTLMv2 em uma hora respondendo a nomes de compartilhamento errados.
- 02
Combinar envenenamento LLMNR com ntlmrelayx para relayar autenticacoes a um alvo SMB sem assinatura.
● Perguntas frequentes
O que é Envenenamento LLMNR?
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Envenenamento LLMNR?
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
Como funciona Envenenamento LLMNR?
O LLMNR (RFC 4795) e um protocolo de resolucao de nomes de fallback do Windows usado quando o DNS falha. Clientes enviam uma consulta multicast em UDP/5355 pelo nome nao resolvido, e qualquer host do link local pode responder. Um atacante no mesmo dominio de broadcast responde com o proprio IP e induz o cliente SMB ou HTTP da vitima a autenticar, capturando o challenge-response NTLMv2 para crack offline ou NTLM relay. O envenenamento LLMNR e um dos ataques internos mais confiaveis porque o Windows ainda o consulta para erros de digitacao, compartilhamentos mal configurados e impressoras obsoletas. A mitigacao e direta: desabilitar o LLMNR via GPO (Turn off Multicast Name Resolution) e depender apenas do DNS. Sinais de deteccao incluem trafego UDP/5355 incomum e Event ID 4624 originados de hosts suspeitos.
Como se defender contra Envenenamento LLMNR?
As defesas contra Envenenamento LLMNR costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Envenenamento LLMNR?
Nomes alternativos comuns: Spoofing LLMNR, T1557.001.
● Termos relacionados
- attacks№ 715
Envenenamento NBT-NS
Ataque adversary-in-the-middle que abusa do trafego legado do NetBIOS Name Service em UDP/137 para forjar respostas de nomes e capturar autenticacoes NTLM.
- attacks№ 924
Ataque com Responder
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
- attacks№ 746
Ataque de NTLM Relay
Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.
- attacks№ 1057
Ataque de SMB Relay
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.