Вопрос или проблема
Я знаю, что LLMNR является “новой версией” NetBIOS, и оба они в основном предназначены для разрешения имен в IP-адреса.
Я также знаю о некоторых уязвимостях, основанных на них, таких как атака MiTM, когда нападающий отправляет злоумышленный ответ жертве, когда жертва запрашивает IP-адрес машины.
Но я не понимаю их роли в атаке WannaCry.
У меня есть файл захвата PCAP, который я предполагаю связан с атакой WannaCry, и в видео, которое я смотрел, парень говорит, что если вы видите много LLMNR в захвате, это тревожный сигнал для EternalBlue/WannaCry.
И действительно, в этом захвате есть ОЧЕНЬ много пакетов LLMNR, NBSS и NBNS, и NetworkMiner также подозревает уязвимость EternalBlue и указывает на эти пакеты NBSS, но я не могу понять их содержимое.
Я вижу много запросов имен NB WPAD, Refresh NB и регистрации NB.
Также все пакеты LLMNR являются стандартными запросами “шестнадцатеричное число” A или что-то подобное (например, A wpad, ANY “имя ВМ”, A isatap).
Но я не понимаю, что они делают.
Может кто-то объяснить простыми словами их роль в атаке, не вдаваясь в слишком много деталей?
Я посмотрел много видео по этому поводу, но ни одно из них не ответило на этот вопрос.
В основном, что я спрашиваю:
Как эти протоколы используются в атаке WannaCry? Почему в файле pcap сети, атакованной WannaCry, так много этих пакетов?
(Я посмотрел много видео и статей об этой атаке и об этих протоколах, но все еще не понимаю связи!)
Это старая запись, но вот мой ответ в любом случае.
LLMNR используется для помощи в распространении программ-вымогателей на другие устройства в сети. Он в основном “пингует” другие устройства в сети и пытается распространиться на них, если они также уязвимы. Я не знаю, может ли он определить, уязвимо ли устройство или нет, если честно.
Как только он распространяется на это устройство, он начинает отправлять похожие пакеты оттуда. Лучшая часть этого в том, что если вы отключите инфицированное устройство и подключите его к другой сети, оно снова начнет отправлять те же пакеты через новую сеть и снова начнет распространяться.
Я не знаю много о других пакетах, но одно, что нельзя забывать, это то, что WannaCry постоянно пытался пинговать незарегистрированный домен как обратную связь для нападающего (на случай, если они случайно заразят себя), именно так эпидемия была предотвращена. Я имею в виду, что не каждый отправленный пакет должен быть напрямую связан с программой-вымогателем, но может быть использован для сокрытия, избежания блокировок, распространения и т. д.
Ответ или решение
Вопрос о роли протоколов LLMNR, NBSS и NBNS в атаке WannaCry весьма интересен, и действительно, понимание их поведения может помочь в анализе инцидента.
Роль протоколов в атаке WannaCry:
-
LLMNR (Link-Local Multicast Name Resolution):
- LLMNR — это протокол, который позволяет устройствам в локальной сети разрешать имена в IP-адреса без необходимости в DNS-сервере. WannaCry использует LLMNR для обнаружения и добавления новых жертв в свою сеть.
- Когда WannaCry заражает одну машину, она начинает отправлять LLMNR-запросы с попытками определить другие устройства в сети, у которых могут быть уязвимости. Это происходит путем посылки широковещательных запросов на разрешение имен, чтобы найти другие уязвимые системы.
-
NBSS (NetBIOS Session Service):
- NBSS является протоколом, используемым для управления сессиями NetBIOS. WannaCry может использовать NBSS для передачи данных между зараженными устройствами, чтобы эффективно распространяться и выполнять свои операции.
- В контексте атаки, NBSS-пакеты могут указывать на успешные попытки связи с другими целями в сети, и благодаря ним WannaCry может запускать свои вредоносные действия на других машинах.
-
NBNS (NetBIOS Name Service):
- NBNS отвечает за разрешение имен NetBIOS в IP-адреса, подобно DNS, но для старых систем Windows. WannaCry может отправлять NBNS-запросы, чтобы найти уязвимые компьютеры по их именам NetBIOS.
- Злоумышленник может использовать NBNS для поиска активных устройств и отправки им запросов, которые помогут определить их уязвимости, прежде чем пытаться выполнить атаку.
Почему возникает множество таких пакетов в захвате:
- Множество пакетов LLMNR, NBSS и NBNS в захвате может быть признаком того, что WannaCry активно пытается найти другие уязвимые системы в локальной сети. Каждый зараженный узел будет пытаться идентифицировать другие устройства и передавать пакеты, что приводит к большому количеству сетевого трафика.
- Данная активность является частью метода распределенного заражения, который позволяет WannaCry быстро распространяться, как только он получает доступ к новой машине.
Заключение:
Таким образом, протоколы LLMNR, NBSS и NBNS играют критическую роль в процессе распространения WannaCry в сети. Они позволяют атакующему находить и заражать новые компьютеры, используя уязвимости в сетевых протоколах. Наблюдение за большим объемом трафика от этих протоколов в сетевом захвате может служить индикатором того, что атака WannaCry или аналогичная угроза происходит в сети.