Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
Réseau : détecter une attaque LLMNR poisoning avec un Honeypot
Mickael Dorigny - ITConnect -
25/11
Dans ce tutoriel, nous allons déployer un Honeypot basé sur un script PowerShell pour piéger l'attaquant et détecter les attaques LLMNR sur un réseau.
Sommaire
I. Présentation
II. Attaque sur LLMNR : comment piéger l'attaquant ?
III. Script PowerShell de détection LLMNR
IV. Visualisation dans les logs
A. Détecter l'attaque LLMNR dans l'observateur d'évènement
B. Visualisation de l’attaque dans un SIEM
V. Conclusion
I. Présentation
Dans cet article, nous allons apprendre à mettre en place un pot de miel (honeypot) afin de piéger un attaquant sur notre réseau et détecter une attaque LLMNR poisoning.
Pour rappel, le protocole LLMNR (Local Link Multicast Name Resolution) est un protocole de résolution de nom activé par défaut sous Windows et utilisant le multicast. L'idée est que si notre résolveur local ou DNS de référence ne sait pas répondre à la question "quelle est l'adresse IP correspondant à tel nom de domaine", le client finit par demander l'information à tous ses voisins du réseau local. C’est un peu la version « bouche-à-oreille » de la résolution IP-nom.
L’attaque LLMNR poisoning consiste pour l'attaquant à abuser de l'utilisation de ce protocole en répondant systématiquement aux voisins en émettant une requête "oui je connais la correspondance" (même si ce n'est pas vrai), puis à donner son adresse IP en réponse. Ainsi, les clients viennent se connecter sur son poste via différents protocoles et l'attaquant en profite pour demander une authentification, ce qui entraîne généralement un vol de session (via SMB Relay) ou de mot de passe (en cas d'utilisation du NTLMv1 notamment).
Pour en savoir plus sur ce protocole et son exploitation dans la cadre d'une cyberattaque, je vous invite à consulter notre article à ce sujet :
IT-Connect.fr - Active Directory : comment et pourquoi désactiver les protocoles LLMNR et NetBIOS ?
Vous pouvez aussi regarder la vidéo qui résume l'article :
Il faut enfin savoir que le LLMNR poison... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité