Link-Local Multicast Name Resolution (LLMNR) e NetBIOS Name Service (NBT-NS) são dois protocolos usados para identificar um endereço de host em uma rede quando a resolução de nome DNS, que é o método convencional, falha em fazê-lo.
Quando um servidor DNS não consegue resolver uma solicitação de uma máquina solicitante, esta última transmite uma mensagem para seus computadores pares, solicitando a localização do servidor necessário. Os hackers aproveitam essa operação para roubar as credenciais da máquina do solicitante.
Os hackers que residem silenciosamente na rede ouvirão a comunicação da rede e aproveitarão a oportunidade para responder à solicitação LLNMR / NBT-NS de uma máquina solicitante. A máquina solicitante, ao receber a comunicação do hacker, pensa que é uma fonte autêntica e, sem saber, compartilha seu hash NTLMv2, resultando em um vazamento de credencial.
Como ocorre um ataque LLMNR / NBT-NS?
- Um usuário deseja acessar o servidor de arquivos em \\ jojofiles, mas solicita \\ jojosfile sem saber.
- Como esperado, o servidor DNS não pode reconhecer o host e não retorna o servidor de arquivos necessário.
- A máquina solicitante pergunta às outras máquinas da rede se elas sabem a localização do \\ jojosfile.
- Um hacker intercepta a mensagem e responde à máquina confirmando que ela tem a localização de \\ jojosfile.
- A máquina do solicitante acredita no hacker e fornece seu nome de usuário e hash NTLMv2. O hacker agora pode quebrar o hash usando ferramentas como o Hashcat para assumir o controle da conta e usá-la para fins maliciosos.
Quais são as maneiras de prevenir um ataque LLMNR / NBT-NS?
- Desativar LLMNR e NBT-NS.
- Para desabilitar o LLMNR: Abra o Editor de Política de Grupo . Navegue até Política do computador local > Configuração do computador > Modelos administrativos > Rede > Cliente DNS . Ative Desative a resolução de nomes de multicast . Isso desativa o LLMNR.
- Para desabilitar o NBT-NS: Abra o Painel de Controle . Vá para Rede e Internet > Conexões de rede . Visualize as propriedades do seu adaptador de rede. Escolha o protocolo da Internet versão 4 (TCP / IPv4) e clique em Propriedades .
Na guia Geral , clique em Avançado.
Escolha a guia WINS . Selecione Desativar NetBIOS sobre TCP / IP e clique em OK . Isso desativa o NBT-NS.
- Se a política da sua organização não permite que você desative esses protocolos, você pode implementar a seguinte solução alternativa:
- Certifique-se de que os invasores não tenham acesso à rede exigindo o Controle de Acesso à Rede (NAC – Network Access Control).
- Defina políticas de senha fortes para usuários na organização, de forma que seja mais difícil para os invasores quebrarem o hash.
- Monitore logons incomuns de usuários para identificar quaisquer sinais de comprometimento da conta.
Isso pode ser feito usando soluções de auditoria do Active Directory como o ADAudit Plus. Inicie sua avaliação gratuita de 30 dias do ADAudit Plus da ManageEngine, contando sempre com o apoio da equipe ACS Pro.
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
