Como prevenir um ataque LLMNR / NBT-NS?

Link-Local Multicast Name Resolution (LLMNR) e NetBIOS Name Service (NBT-NS) são dois protocolos usados ​​para identificar um endereço de host em uma rede quando a resolução de nome DNS, que é o método convencional, falha em fazê-lo.

Quando um servidor DNS não consegue resolver uma solicitação de uma máquina solicitante, esta última transmite uma mensagem para seus computadores pares, solicitando a localização do servidor necessário. Os hackers aproveitam essa operação para roubar as credenciais da máquina do solicitante.

Os hackers que residem silenciosamente na rede ouvirão a comunicação da rede e aproveitarão a oportunidade para responder à solicitação LLNMR / NBT-NS de uma máquina solicitante. A máquina solicitante, ao receber a comunicação do hacker, pensa que é uma fonte autêntica e, sem saber, compartilha seu hash NTLMv2, resultando em um vazamento de credencial.

Como ocorre um ataque LLMNR / NBT-NS?

Uma explicação simples do ataque LLMNR / NBT-NS
  1. Um usuário deseja acessar o servidor de arquivos em \\ jojofiles, mas solicita \\ jojosfile sem saber.
  2. Como esperado, o servidor DNS não pode reconhecer o host e não retorna o servidor de arquivos necessário.
  3. A máquina solicitante pergunta às outras máquinas da rede se elas sabem a localização do \\ jojosfile.
  4. Um hacker intercepta a mensagem e responde à máquina confirmando que ela tem a localização de \\ jojosfile.
  5. A máquina do solicitante acredita no hacker e fornece seu nome de usuário e hash NTLMv2. O hacker agora pode quebrar o hash usando ferramentas como o Hashcat para assumir o controle da conta e usá-la para fins maliciosos.
Como ocorre o ataque de LLMNR / NBT-NS?  Um fluxograma explicando a comunicação entre uma máquina cliente e um hacker

Quais são as maneiras de prevenir um ataque LLMNR / NBT-NS?

  • Desativar LLMNR e NBT-NS.
  • Para desabilitar o LLMNR: Abra o Editor de Política de Grupo . Navegue até  Política do computador local  > Configuração do computador > Modelos administrativos > Rede > Cliente DNS . Ative Desative a resolução de nomes de multicast . Isso desativa o LLMNR.
Passos para desativar LLMNR
  •  Para desabilitar o NBT-NS: Abra o Painel de Controle . Vá para Rede e Internet > Conexões de rede . Visualize as propriedades do seu adaptador de rede. Escolha o protocolo da Internet versão 4 (TCP / IPv4) e clique em Propriedades .
Passos para desativar NBT-NS ou Netbios

Na guia Geral , clique em Avançado.

Etapas para desativar Netbios ou NBT-NS

Escolha a guia WINS . Selecione Desativar NetBIOS sobre TCP / IP e clique em OK . Isso desativa o NBT-NS.

  • Se a política da sua organização não permite que você desative esses protocolos, você pode implementar a seguinte solução alternativa:
  • Certifique-se de que os invasores não tenham acesso à rede exigindo o Controle de Acesso à Rede (NAC – Network Access Control).
  • Defina políticas de senha fortes para usuários na organização, de forma que seja mais difícil para os invasores quebrarem o hash.
  • Monitore logons incomuns de usuários para identificar quaisquer sinais de comprometimento da conta.

Isso pode ser feito usando soluções de auditoria do Active Directory como o ADAudit Plus. Inicie sua avaliação gratuita de 30 dias do ADAudit Plus da ManageEngine, contando sempre com o apoio da equipe ACSoftware

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

Deixe um comentário