Envenenamento LLMNR
O que é Envenenamento LLMNR?
Envenenamento LLMNRTecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
O LLMNR (RFC 4795) e um protocolo de resolucao de nomes de fallback do Windows usado quando o DNS falha. Clientes enviam uma consulta multicast em UDP/5355 pelo nome nao resolvido, e qualquer host do link local pode responder. Um atacante no mesmo dominio de broadcast responde com o proprio IP e induz o cliente SMB ou HTTP da vitima a autenticar, capturando o challenge-response NTLMv2 para crack offline ou NTLM relay. O envenenamento LLMNR e um dos ataques internos mais confiaveis porque o Windows ainda o consulta para erros de digitacao, compartilhamentos mal configurados e impressoras obsoletas. A mitigacao e direta: desabilitar o LLMNR via GPO (Turn off Multicast Name Resolution) e depender apenas do DNS. Sinais de deteccao incluem trafego UDP/5355 incomum e Event ID 4624 originados de hosts suspeitos.
● Exemplos
- 01
Um atacante em VLAN de visitantes coleta dezenas de hashes NTLMv2 em uma hora respondendo a nomes de compartilhamento errados.
- 02
Combinar envenenamento LLMNR com ntlmrelayx para relayar autenticacoes a um alvo SMB sem assinatura.
● Perguntas frequentes
O que é Envenenamento LLMNR?
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Envenenamento LLMNR?
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
Como se defender contra Envenenamento LLMNR?
As defesas contra Envenenamento LLMNR costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Envenenamento LLMNR?
Nomes alternativos comuns: Spoofing LLMNR, T1557.001.