Ataque con Responder
¿Qué es Ataque con Responder?
Ataque con ResponderAtaque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
Responder es una herramienta en Python que combina envenenamiento de LLMNR, NBT-NS, mDNS y DHCPv6 con servidores falsos integrados de SMB, HTTP, FTP, MSSQL, LDAP, WPAD y proxy. Cuando la victima escribe mal un nombre o tiene un recurso mal configurado, Responder contesta, induce la autenticacion y recopila hashes NTLMv1/NTLMv2 challenge-response para cracking offline con hashcat o john. En modo analyse opera de forma pasiva y con -wf despliega un WPAD malicioso. Combinada con ntlmrelayx de Impacket, canaliza las autenticaciones capturadas a ataques de NTLM relay. Las defensas son desactivar LLMNR y NBT-NS por GPO, exigir firma SMB y LDAP, desplegar Extended Protection for Authentication y segmentar la red para impedir accesos no autorizados a Layer 2.
● Ejemplos
- 01
Lanzar Responder en un pentest interno y recoger decenas de hashes NTLMv2 a los pocos minutos de unirse a la LAN.
- 02
Encadenar el modulo WPAD de Responder con ntlmrelayx para reenviar auth NTLM iniciada por el navegador a una app web interna.
● Preguntas frecuentes
¿Qué es Ataque con Responder?
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Ataque con Responder?
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
¿Cómo funciona Ataque con Responder?
Responder es una herramienta en Python que combina envenenamiento de LLMNR, NBT-NS, mDNS y DHCPv6 con servidores falsos integrados de SMB, HTTP, FTP, MSSQL, LDAP, WPAD y proxy. Cuando la victima escribe mal un nombre o tiene un recurso mal configurado, Responder contesta, induce la autenticacion y recopila hashes NTLMv1/NTLMv2 challenge-response para cracking offline con hashcat o john. En modo analyse opera de forma pasiva y con -wf despliega un WPAD malicioso. Combinada con ntlmrelayx de Impacket, canaliza las autenticaciones capturadas a ataques de NTLM relay. Las defensas son desactivar LLMNR y NBT-NS por GPO, exigir firma SMB y LDAP, desplegar Extended Protection for Authentication y segmentar la red para impedir accesos no autorizados a Layer 2.
¿Cómo defenderse de Ataque con Responder?
Las defensas contra Ataque con Responder combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque con Responder?
Nombres alternativos comunes: Ataque con la tool Responder, Envenenador LLMNR/NBT-NS.
● Términos relacionados
- attacks№ 620
Envenenamiento LLMNR
Tecnica adversario en medio (MITRE T1557.001) que abusa del protocolo Link-Local Multicast Name Resolution en UDP/5355 para redirigir a las victimas a hosts controlados por el atacante.
- attacks№ 715
Envenenamiento NBT-NS
Ataque adversario en medio que abusa del trafico heredado de NetBIOS Name Service en UDP/137 para falsificar respuestas de nombres y capturar autenticaciones NTLM.
- attacks№ 746
Ataque de NTLM Relay
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
- attacks№ 1057
Ataque de SMB Relay
Variante especifica de NTLM relay en la que el atacante reenvia la autenticacion SMB de una victima a otro servidor SMB para ejecutar codigo o acceder a archivos con su identidad.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.