Responder-Angriff
Was ist Responder-Angriff?
Responder-AngriffAngriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
Responder ist ein Python-Werkzeug, das LLMNR-, NBT-NS-, mDNS- und DHCPv6-Poisoning mit eingebauten Rogue-Servern fuer SMB, HTTP, FTP, MSSQL, LDAP, WPAD und Proxy kombiniert. Vertippt sich ein Opfer im Hostnamen oder ist ein Share falsch konfiguriert, antwortet Responder, fordert eine Authentifizierung an und sammelt NTLMv1/NTLMv2-Challenge-Response-Hashes fuer Offline-Cracking mit hashcat oder john. Im Analyse-Modus laeuft es passiv, mit -wf betreibt es einen schadhaften WPAD-Server. Zusammen mit Impackets ntlmrelayx fuettert es erfasste Authentifizierungen direkt in NTLM-Relay-Angriffe. Verteidiger deaktivieren LLMNR und NBT-NS per GPO, erzwingen SMB- und LDAP-Signing, setzen Extended Protection for Authentication ein und segmentieren das Netz, um Rogue-Layer-2-Zugriffe zu unterbinden.
● Beispiele
- 01
Einsatz von Responder im internen Pentest und Erfassung Dutzender NTLMv2-Hashes binnen Minuten nach LAN-Beitritt.
- 02
Verketten des WPAD-Moduls von Responder mit ntlmrelayx, um browser-getriebene NTLM-Auth an eine interne Web-App zu relayen.
● Häufige Fragen
Was ist Responder-Angriff?
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Responder-Angriff?
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
Wie funktioniert Responder-Angriff?
Responder ist ein Python-Werkzeug, das LLMNR-, NBT-NS-, mDNS- und DHCPv6-Poisoning mit eingebauten Rogue-Servern fuer SMB, HTTP, FTP, MSSQL, LDAP, WPAD und Proxy kombiniert. Vertippt sich ein Opfer im Hostnamen oder ist ein Share falsch konfiguriert, antwortet Responder, fordert eine Authentifizierung an und sammelt NTLMv1/NTLMv2-Challenge-Response-Hashes fuer Offline-Cracking mit hashcat oder john. Im Analyse-Modus laeuft es passiv, mit -wf betreibt es einen schadhaften WPAD-Server. Zusammen mit Impackets ntlmrelayx fuettert es erfasste Authentifizierungen direkt in NTLM-Relay-Angriffe. Verteidiger deaktivieren LLMNR und NBT-NS per GPO, erzwingen SMB- und LDAP-Signing, setzen Extended Protection for Authentication ein und segmentieren das Netz, um Rogue-Layer-2-Zugriffe zu unterbinden.
Wie schützt man sich gegen Responder-Angriff?
Schutzmaßnahmen gegen Responder-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Responder-Angriff?
Übliche alternative Bezeichnungen: Responder-Tool-Angriff, LLMNR/NBT-NS-Poisoner.
● Verwandte Begriffe
- attacks№ 620
LLMNR-Poisoning
Adversary-in-the-Middle-Technik (MITRE T1557.001), die das Link-Local Multicast Name Resolution-Protokoll auf UDP/5355 missbraucht, um Opfer auf vom Angreifer kontrollierte Hosts umzuleiten.
- attacks№ 715
NBT-NS-Poisoning
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
- attacks№ 746
NTLM-Relay-Angriff
Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.
- attacks№ 1057
SMB-Relay-Angriff
Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.