LLMNR (Link-Local Multicast Name Resolution) dan NBT-NS (NetBIOS Name Service) Poisoning merupakan teknik serangan dalam jaringan komputer yang dimanfaatkan untuk mencuri informasi dengan cara memalsukan hostname dan melakukan Man-in-The-Middle Attack.

LLMNR digunakan untuk menemukan alamat IP dari nama host dalam jaringan lokal tanpa bergantung pada server DNS, sementara NBT-NS berfungsi untuk mengonversi nama NetBIOS menjadi alamat IP.

Dalam serangan ini, Attacker akan memanipulasi respons LLMNR atau NBT-NS korban dengan berpura-pura menjadi host yang dituju, namun dengan catatan bahwa host yang dituju tidak tercatat pada DNS Server (dengan kata lain host yang tidak valid), sehingga memungkinkan mereka untuk merekayasa lalu lintas jaringan dan mencuri kredensial.

Proof of Concept

1. Setup Listener (Fake Services)

Tool ini diperlukan untuk menangkap permintaan yang masuk.

Install Responder

git clone https://github.com/lgandx/Responder
cd Responder/
pip3 install -r requirements.txt

Run Responder

sudo python3 Responder.py -I <network interface>

Running Responder


2. Attack Scenario

Attacker membiarkan User mengakses alamat (melalui hostname) yang tidak valid, maka DNS server tidak mengenali hostname yang diminta.

LLMNR NBT-NS Poisoning (1)

Setelah itu, User akan melakukan Broadcast untuk mencari alamatnya (secara otomatis). Namun tanpa disadari, Attacker telah menyiapkan Listener untuk Capture permintaan pengguna dan berpura-pura menjadi alamat yang dituju.

LLMNR NBT-NS Poisoning (2)

Kemudian, jaringan User dan Attacker akan berkomunikasi dan User akan memberikan Credential kepada Attacker berupa akses NTLM (Network Time Lockout and Login Mechanism).

LLMNR NBT-NS Poisoning (3)

Berikut ini adalah contoh Credential yang berhasil di-capture menggunakan Responder.

image