LLMNR 投毒
LLMNR 投毒 是什么?
LLMNR 投毒一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
LLMNR (RFC 4795) 是 Windows 在 DNS 失败时使用的备用名称解析协议。客户端通过 UDP/5355 多播发送未解析名称的查询,本地链路上的任何主机都可以应答。位于同一广播域的攻击者用自己的 IP 应答,然后诱导受害者的 SMB 或 HTTP 客户端发起认证,从而捕获 NTLMv2 挑战-响应数据,用于离线破解或 NTLM Relay。LLMNR 投毒是最可靠的内网攻击之一,因为 Windows 仍会针对拼写错误、配置错误的共享和已淘汰的打印机发起 LLMNR 查询。缓解方法很简单:通过组策略 (Turn off Multicast Name Resolution) 禁用 LLMNR,只依赖 DNS。检测信号包括异常的 UDP/5355 流量,以及来自可疑主机的 4624 登录事件。
● 示例
- 01
处于访客 VLAN 的攻击者通过应答拼写错误的共享名,在一小时内收集到数十个 NTLMv2 哈希。
- 02
将 LLMNR 投毒与 ntlmrelayx 组合,把捕获的认证转发到未签名的 SMB 目标。
● 常见问题
LLMNR 投毒 是什么?
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。 它属于网络安全的 攻击与威胁 分类。
LLMNR 投毒 是什么意思?
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
LLMNR 投毒 是如何工作的?
LLMNR (RFC 4795) 是 Windows 在 DNS 失败时使用的备用名称解析协议。客户端通过 UDP/5355 多播发送未解析名称的查询,本地链路上的任何主机都可以应答。位于同一广播域的攻击者用自己的 IP 应答,然后诱导受害者的 SMB 或 HTTP 客户端发起认证,从而捕获 NTLMv2 挑战-响应数据,用于离线破解或 NTLM Relay。LLMNR 投毒是最可靠的内网攻击之一,因为 Windows 仍会针对拼写错误、配置错误的共享和已淘汰的打印机发起 LLMNR 查询。缓解方法很简单:通过组策略 (Turn off Multicast Name Resolution) 禁用 LLMNR,只依赖 DNS。检测信号包括异常的 UDP/5355 流量,以及来自可疑主机的 4624 登录事件。
如何防御 LLMNR 投毒?
针对 LLMNR 投毒 的防御通常结合技术控制与运营实践,详见上方完整定义。
LLMNR 投毒 还有哪些其他名称?
常见的别称包括: LLMNR 欺骗, T1557.001。
● 相关术语
- attacks№ 715
NBT-NS 投毒
一种中间人攻击,利用 UDP/137 上的传统 NetBIOS 名称服务流量伪造名称应答,以捕获 NTLM 认证。
- attacks№ 924
Responder 攻击
利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。
- attacks№ 746
NTLM Relay 攻击
一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。
- attacks№ 1057
SMB Relay 攻击
NTLM Relay 的一种特定变体,攻击者将受害者的 SMB 认证转发到另一台 SMB 服务器,以受害者身份获取代码执行或文件访问。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。