Poisoning von LLMNR und NBT-NS
Einführung
LLMNR (Link-Local Multicast Name Resolution) und NetBIOS sind zwei Namensauflösungsdienste, die in Windows-Umgebungen zur Auflösung von Netzwerkadressen verwendet werden. Wenn ein Windows-Host einen Domain- oder Hostnamen nicht über einen DNS-Server auflösen kann, fragt er andere Hosts im lokalen Segment ab. Standardmäßig verwendet der Prozess zuerst LLMNR; wenn das fehlschlägt, versucht er es mit dem NetBIOS Name Service (NBT-NS).
Angriff mit Responder
Responder ist ein On-Path-Tool, das genutzt werden kann, um die Namensauflösung in Windows-Netzwerken auszunutzen. Es ist darauf ausgelegt, LLMNR- und NBT-NS-Anfragen abzufangen und zu vergiften. Sobald eine Anfrage abgefangen wird, gibt Responder die IP-Adresse des Angreiferhosts als Namenseintrag zurück. Dadurch stellt der anfragende Host eine Sitzung mit dem Angreifer her.
Beispiel: Abfangen eines Passwort-Hashs eines Benutzers mit Responder.
Für einen erfolgreichen Angriff muss das Opfer entweder dazu gebracht werden, einen nicht existierenden Namen anzufragen, oder es muss daran gehindert werden, den legitimen DNS-Dienst zu nutzen.
Analysemodus von Responder
Responder kann auch im Analysemodus betrieben werden, um den Namensauflösungsverkehr zu überwachen, ohne darauf zu antworten. Dies hilft einem Angreifer, die im Netzwerk verwendeten Namen zu ermitteln und ein Ziel auszuwählen.
Erfassen von Passwort-Hashes
Eine weitere Möglichkeit, einen Authentifizierungsprozess zu umgehen, besteht darin, Passwort-Hashes zu erfassen und zu verwenden. Durch das Abfangen solcher Hashes kann ein Angreifer versuchen, diese offline zu knacken oder sie für Pass-the-Hash-Angriffe zu nutzen.
Tags
LLMNRNBT-NSResponderNetzwerksicherheitPasswortHashWindowsNetzwerkNamensauflösungSicherheitCyberAngriff