mcdaniels 29 Geschrieben vor 16 Stunden Melden Teilen Geschrieben vor 16 Stunden (bearbeitet) Hallo, mir ist heute aufgefallen, dass unser DC, der alle FSMO hat im Sicherheits-Eventlog alle Minuten (oder tlw auch kürzere Abstände) eine Event ID 4776 (Überwachung gescheitert) protokolliert, deren Inhalt offenbar der Versuch ist die Anmeldeinformation für ein Konto zu prüfen. Gestartet haben die Einträge am 3. November. Inhalt: Es wurde versucht, die Anmeldeinformationen für ein Konto zu überprüfen. Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: (ist leer) Arbeitsstation: \\HOME_DS Fehlercode: 0x0000064 Es gibt bei uns kein: \\HOME_DS (ich nehme mal an, das scheint ein Client zu sein? Ich habe dann Wireshark angeworfen und festgestellt, dass diese HOME_DS Anfragen von einem Plotter kommen und das LLMNR Protokoll betreffen und auch die IP 224.0.0.252 im Spiel ist, die eindeutig etwas mit LLMNR zu tun hat. Also Plotter mal testweise abgedreht.... Die Meldungen gingen aber weiter (auch jetzt noch). Per Wireshark kann ich den String \\HOME_DS aber nicht mehr in der Paketinfo finden. Weitere "Wireshark-Forensik" brachte dann zu Tage, dass sich offenbar mehrere Domänen-PC des LLMNR Protokolls bedienen, obwohl sie Domänenclients sind und DNS ordnungsgemäß auflösen könnten. Im Wireshark sieht man auch, dass sie FQDN per LLMNR auflösen wollen, die problemlos via DC-DNS aufgelöst werden könnten. Soweit ich mich richtig informiert habe, ist das LLMNR Protokoll dafür da, um in kleinen Netzwerken den DNS quasi zu ersetzen. Oder, besser formuliert, kann es in Netzen ohne DNS eingesetzt werden. Für mich ist jetzt völlig unklar: Wie es sein kann, dass die Clients LLMNR sprechen wollen, obwohl sie den DC DNS verwenden können um die angefragten Namen aufzulösen und vor allem weshalb diese gescheiterten Überwachungen mit der Arbeitsstation \\HOME_DS weitergehen, obwohl der Wireshark nichts mehr sieht. Ich habe auch gelesen dass LLMNR gerne missbraucht wird (LLMNR poisoning) um User quasi auf andere Seiten umzuleiten... Ist jetzt natürlich ein etwas fader Beigeschmack, obwohl ich nicht denke, dass wir kompromittiert worden sind. Zumindest konnte ich bislang nichts finden... Das heißt wiederum noch lange nicht, dass trotzdem etwas im Argen liegt. Was mich aber stutzig macht ist, dass die Einträge am 3.11 gestartet sind. (Ohne Aktion unsererseits) Wenn ich mir die Queries anschaue, dann spricht hier zumindest gegen eine MITM-Attack (LLMNR poisioning) dass die ursprüngliche LLMNR Query dann nicht von einem "anderen" Endpunkt beantwortet wird. Es kommt anscheinend ganz einfach gar keine Antwort. Momentan spielt sich wohl lt. Wireshark wenig ab. Der DC protokolliert aber nach wie vor oben erwähnte Meldung. Aktuell sieht es so aus (Queries aber kein Response): Kann sich hier jemand vorstellen was hier los sein könnte? Ich könnte / sollte wohl jedenfalls mal LLMNR und NBT-NS abdrehen. Allerdings muss dieses Verhalten ja von "irgendjemandem" oder "irgendetwas" ausgelöst werden.... Vielen Dank im Voraus! bearbeitet vor 15 Stunden von mcdaniels Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben vor 12 Stunden Melden Teilen Geschrieben vor 12 Stunden vor 3 Stunden schrieb mcdaniels: Ich könnte / sollte wohl jedenfalls mal LLMNR Das ist ja auch sehr empfohlen, dass llmnr per gpo deaktiviert wird. :) netbios sollte afair bei nicht Verwendung von smbv1 sowieso nicht mehr zur Verfügung stehen. Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben vor 4 Stunden Autor Melden Teilen Geschrieben vor 4 Stunden vor 7 Stunden schrieb NorbertFe: Das ist ja auch sehr empfohlen, dass llmnr per gpo deaktiviert wird. :) netbios sollte afair bei nicht Verwendung von smbv1 sowieso nicht mehr zur Verfügung stehen. Hallo, ja das hab ich auch gelesen... Und werde ich auch umsetzen. Allerdings trotzdem komisch was da läuft. V.a. mit diesem komischen HOME_DS. Mal weiter wiresharken... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben vor 3 Stunden Melden Teilen Geschrieben vor 3 Stunden Per gpo abschalten und dann mal mit wireshark schauen was noch zu finden ist. Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben vor 2 Stunden Autor Melden Teilen Geschrieben vor 2 Stunden Ich halte euch auf dem Laufenden... DANKE! Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben vor 2 Stunden Melden Teilen Geschrieben vor 2 Stunden (bearbeitet) Bei HOME_DS klingelt beim ganz ganz leise was... aber ich komme nicht drauf, in welchem Log oder Trace ich das schon mal gesehen habe. Ist es möglich, dass auf dem Gerät, das die Abfrage macht, irgendwelche Apps installiert sind, die nix mit Arbeit zu tun haben? Waschmaschinen-Steuerung, Luftqualität, sowas? LLMNR, falls nicht totgetreten, wird versucht, nachdem DNS fehlgeschlagen ist. Bedeutet vermutlich, dass der Versuch, HOME_DS per DNS aufzulösen, nicht in einem autoritativen NXDOMAIN gipfelte, sondern ergebnislos verhallte. bearbeitet vor 2 Stunden von cj_berlin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.