LLMNR-отравление
Что такое LLMNR-отравление?
LLMNR-отравлениеТехника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
LLMNR (RFC 4795) — резервный протокол разрешения имён Windows, применяемый, когда DNS не отвечает. Клиенты шлют multicast-запрос по UDP/5355 для нерешённого имени, и любой узел в локальном линке может ответить. Атакующий в том же broadcast-домене отвечает своим IP и заставляет SMB- или HTTP-клиента жертвы пройти аутентификацию, перехватывая challenge-response NTLMv2 для офлайн-взлома или NTLM-relay. LLMNR-отравление — один из самых надёжных внутренних атак, потому что Windows по-прежнему обращается к нему при опечатках, неверно настроенных шарах и устаревших принтерах. Решение простое: отключить LLMNR через GPO (Turn off Multicast Name Resolution) и полагаться только на DNS. Признаки обнаружения — необычный трафик UDP/5355 и события 4624 от незнакомых хостов.
● Примеры
- 01
Атакующий в гостевом VLAN за час собирает десятки NTLMv2-хешей, отвечая на опечатанные имена шаров.
- 02
Связка LLMNR-отравления и ntlmrelayx для ретрансляции захваченных аутентификаций на SMB-цель без подписи.
● Частые вопросы
Что такое LLMNR-отравление?
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает LLMNR-отравление?
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
Как работает LLMNR-отравление?
LLMNR (RFC 4795) — резервный протокол разрешения имён Windows, применяемый, когда DNS не отвечает. Клиенты шлют multicast-запрос по UDP/5355 для нерешённого имени, и любой узел в локальном линке может ответить. Атакующий в том же broadcast-домене отвечает своим IP и заставляет SMB- или HTTP-клиента жертвы пройти аутентификацию, перехватывая challenge-response NTLMv2 для офлайн-взлома или NTLM-relay. LLMNR-отравление — один из самых надёжных внутренних атак, потому что Windows по-прежнему обращается к нему при опечатках, неверно настроенных шарах и устаревших принтерах. Решение простое: отключить LLMNR через GPO (Turn off Multicast Name Resolution) и полагаться только на DNS. Признаки обнаружения — необычный трафик UDP/5355 и события 4624 от незнакомых хостов.
Как защититься от LLMNR-отравление?
Защита от LLMNR-отравление обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия LLMNR-отравление?
Распространённые альтернативные названия: LLMNR-spoofing, T1557.001.
● Связанные термины
- attacks№ 715
NBT-NS-отравление
Атака «человек посередине», использующая устаревший трафик NetBIOS Name Service на UDP/137 для подмены ответов на имена и сбора NTLM-аутентификаций.
- attacks№ 924
Атака с использованием Responder
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
- attacks№ 746
Атака NTLM Relay
Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.
- attacks№ 1057
Атака SMB Relay
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.