PC Windows yang terhubung ke jaringan lokal Anda mungkin rentan. Haruskah Anda mengamankan penggunaan LLMNR atau melakukannya tanpa fitur sama sekali?
Windows Active Directory adalah layanan yang dibuat oleh Microsoft yang masih digunakan sampai sekarang di berbagai organisasi di seluruh dunia. Ini menghubungkan dan menyimpan informasi tentang beberapa perangkat dan layanan di jaringan yang sama secara bersamaan. Namun jika Direktori Aktif perusahaan tidak dikonfigurasi dengan benar dan aman, ini dapat menyebabkan serangkaian kerentanan dan serangan.
Salah satu serangan Active Directory yang lebih populer adalah serangan Poisoning LLMNR. Jika berhasil, serangan peracunan LLMNR dapat memberikan akses dan hak istimewa kepada admin peretas ke layanan Active Directory.
Baca terus untuk mengetahui cara kerja serangan keracunan LLMNR dan cara mencegahnya terjadi pada Anda.
Apa itu LLMNR?
LLMNR adalah singkatan dari Link-Local Multicast Name Resolution. Ini adalah layanan atau protokol resolusi nama yang digunakan pada Windows untuk menyelesaikan alamat IP host di jaringan lokal yang sama ketika server DNS tidak tersedia.
LLMNR bekerja dengan mengirimkan kueri ke semua perangkat di seluruh jaringan yang meminta nama host tertentu. Ini dilakukan dengan menggunakan paket Permintaan Resolusi Nama (NRR) yang disiarkan ke semua perangkat di jaringan itu. Jika ada perangkat dengan nama host tersebut, perangkat tersebut akan merespons dengan paket Name Resolution Response (NRP) yang berisi alamat IP-nya dan membuat koneksi dengan perangkat yang meminta.
Sayangnya, LLMNR masih jauh dari mode aman untuk resolusi nama host. Kelemahan utamanya adalah menggunakan nama pengguna seseorang di samping kata sandi yang sesuai saat berkomunikasi.
Apa itu Keracunan LLMNR?
Keracunan LLMNR adalah jenis serangan man-in-the-middle yang mengeksploitasi protokol LLMNR (Link-Local Multicast Name Resolution) di sistem Windows. Dalam Keracunan LLMNR, penyerang mendengarkan dan menunggu untuk mencegat permintaan dari target. Jika berhasil, orang ini kemudian dapat mengirim respons LLMNR jahat ke komputer target, menipunya mengirim informasi sensitif (hash nama pengguna dan kata sandi) kepada mereka alih-alih jaringan yang dituju sumber. Serangan ini dapat digunakan untuk mencuri kredensial, melakukan pengintaian jaringan, atau meluncurkan serangan lebih lanjut pada sistem atau jaringan target.
Bagaimana Cara Kerja Keracunan LLMNR?
Dalam kebanyakan kasus, LLMNR dicapai dengan menggunakan alat yang disebut Responder. Ini adalah skrip sumber terbuka populer yang biasanya ditulis dengan python dan digunakan untuk keracunan LLMNR, NBT-NS, dan MDNS. Itu mengatur beberapa server seperti SMB, LDAP, Auth, WDAP, dll. Saat dijalankan di jaringan, skrip Responder mendengarkan kueri LLMNR yang dibuat oleh perangkat lain di jaringan itu dan melakukan serangan man-in-the-middle pada perangkat tersebut. Alat ini dapat digunakan untuk menangkap kredensial autentikasi, mendapatkan akses ke sistem, dan melakukan aktivitas berbahaya lainnya.
Saat penyerang mengeksekusi skrip responder, skrip tersebut diam-diam mendengarkan peristiwa dan kueri LLMNR. Ketika satu terjadi, itu mengirimkan tanggapan beracun kepada mereka. Jika serangan spoofing ini berhasil, responden menampilkan hash nama pengguna dan kata sandi target.
Penyerang kemudian dapat mencoba memecahkan hash kata sandi menggunakan berbagai alat peretas kata sandi. Hash kata sandi biasanya merupakan hash NTLMv1. Jika kata sandi target lemah, itu akan dipaksakan secara kasar dan diretas dalam waktu singkat. Dan ketika ini terjadi, penyerang akan dapat masuk ke akun pengguna, menyamar sebagai korban, instal malware, atau lakukan aktivitas lain seperti pengintaian jaringan dan data eksfiltrasi.
Lewati Serangan Hash
Hal yang menakutkan tentang serangan ini adalah terkadang hash kata sandi tidak perlu diretas. Hash itu sendiri dapat digunakan dalam pass serangan hash. Lulus serangan hash adalah salah satu tempat penjahat dunia maya menggunakan hash kata sandi yang tidak diretas untuk mendapatkan akses ke akun pengguna dan mengotentikasi dirinya sendiri.
Dalam proses otentikasi normal, Anda memasukkan kata sandi dalam teks biasa. Kata sandi kemudian di-hash dengan algoritme kriptografi (seperti MD5 atau SHA1) dan dibandingkan dengan versi hash yang disimpan di database sistem. Jika hash cocok, Anda menjadi diautentikasi. Namun, dalam serangan hash, penyerang mencegat hash kata sandi selama otentikasi dan menggunakannya kembali untuk mengotentikasi tanpa mengetahui kata sandi teks biasa.
Bagaimana Mencegah Keracunan LLMNR?
Keracunan LLMNR mungkin merupakan serangan dunia maya yang populer, ini juga berarti bahwa ada langkah-langkah yang teruji dan tepercaya untuk menguranginya serta mengamankan Anda dan aset Anda. Beberapa tindakan ini termasuk penggunaan firewall, autentikasi multifaktor, IPSec, kata sandi yang kuat, dan menonaktifkan LLMNR secara bersamaan.
1. Nonaktifkan LLMNR
Cara terbaik untuk menghindari serangan keracunan LLMNR terjadi pada Anda adalah dengan menonaktifkan protokol LLMNR di jaringan Anda. Jika Anda tidak menggunakan layanan ini, Anda tidak perlu menambahkan risiko keamanan.
Jika Anda memang membutuhkan fungsionalitas seperti itu, alternatif yang lebih baik dan lebih aman adalah protokol Domain Name System (DNS).
2. Memerlukan Kontrol Akses Jaringan
Kontrol Akses Jaringan mencegah serangan peracunan LLMNR dengan menerapkan kebijakan keamanan yang kuat dan langkah-langkah kontrol akses pada semua perangkat jaringan. Itu dapat mendeteksi dan memblokir perangkat yang tidak sah dari mengakses jaringan dan memberikan pemantauan dan peringatan waktu nyata
Kontrol Akses Jaringan juga dapat mencegah serangan keracunan LLMNR menerapkan segmentasi jaringan, yang membatasi permukaan serangan jaringan dan membatasi akses tidak sah ke data sensitif atau sistem kritis.
3. Menerapkan Segmentasi Jaringan
Anda dapat membatasi cakupan serangan Keracunan LLMNR dengan membagi jaringan Anda menjadi subnet yang lebih kecil. Ini dapat dilakukan melalui penggunaan VLAN, firewall, dan langkah-langkah keamanan jaringan lainnya.
4. Gunakan Kata Sandi yang Kuat
Jika terjadi Serangan Keracunan LLMNR, disarankan untuk menggunakan kata sandi yang kuat yang tidak mudah diretas. Kata sandi yang lemah, seperti yang berdasarkan nama Anda atau urutan angka, dapat dengan mudah ditebak atau sudah ada di tabel kamus atau daftar kata sandi.
Pertahankan Postur Keamanan yang Kuat
Mempertahankan postur keamanan yang baik adalah aspek penting untuk melindungi sistem dan data Anda dari ancaman dunia maya seperti Peracunan LLMNR. Melakukan hal itu membutuhkan kombinasi tindakan proaktif, seperti menerapkan kata sandi yang kuat, memperbarui perangkat lunak dan sistem secara rutin, dan mendidik karyawan tentang praktik terbaik keamanan.
Dengan terus menilai dan meningkatkan langkah-langkah keamanan, organisasi Anda dapat tetap terdepan dalam pelanggaran dan ancaman serta melindungi aset Anda dari serangan.
