LLMNR-отравление
Что такое LLMNR-отравление?
LLMNR-отравлениеТехника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
LLMNR (RFC 4795) — резервный протокол разрешения имён Windows, применяемый, когда DNS не отвечает. Клиенты шлют multicast-запрос по UDP/5355 для нерешённого имени, и любой узел в локальном линке может ответить. Атакующий в том же broadcast-домене отвечает своим IP и заставляет SMB- или HTTP-клиента жертвы пройти аутентификацию, перехватывая challenge-response NTLMv2 для офлайн-взлома или NTLM-relay. LLMNR-отравление — один из самых надёжных внутренних атак, потому что Windows по-прежнему обращается к нему при опечатках, неверно настроенных шарах и устаревших принтерах. Решение простое: отключить LLMNR через GPO (Turn off Multicast Name Resolution) и полагаться только на DNS. Признаки обнаружения — необычный трафик UDP/5355 и события 4624 от незнакомых хостов.
● Примеры
- 01
Атакующий в гостевом VLAN за час собирает десятки NTLMv2-хешей, отвечая на опечатанные имена шаров.
- 02
Связка LLMNR-отравления и ntlmrelayx для ретрансляции захваченных аутентификаций на SMB-цель без подписи.
● Частые вопросы
Что такое LLMNR-отравление?
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает LLMNR-отравление?
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
Как защититься от LLMNR-отравление?
Защита от LLMNR-отравление обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия LLMNR-отравление?
Распространённые альтернативные названия: LLMNR-spoofing, T1557.001.