Attaque Responder
Qu'est-ce que Attaque Responder ?
Attaque ResponderAttaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des services d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local.
Responder est un outil Python qui combine empoisonnement LLMNR, NBT-NS, mDNS et DHCPv6 a des serveurs factices SMB, HTTP, FTP, MSSQL, LDAP, WPAD et proxy. Quand une victime fait une faute de frappe ou utilise un partage mal configure, Responder repond, declenche l'authentification et collecte des hashes challenge-response NTLMv1/NTLMv2 pour cassage hors ligne avec hashcat ou john. Le mode analyse fonctionne de maniere passive, et l'option -wf demarre un WPAD malicieux. Combine avec ntlmrelayx d'Impacket, il alimente directement des attaques NTLM relay. Les defenses consistent a desactiver LLMNR et NBT-NS via GPO, imposer la signature SMB et LDAP, deployer Extended Protection for Authentication et segmenter le reseau pour bloquer un acces de niveau 2 non autorise.
● Exemples
- 01
Lancer Responder lors d'un pentest interne et collecter des dizaines de hashes NTLMv2 quelques minutes apres avoir rejoint le LAN.
- 02
Chainer le module WPAD de Responder avec ntlmrelayx pour relayer une auth NTLM declenchee par le navigateur vers une application web interne.
● Questions fréquentes
Qu'est-ce que Attaque Responder ?
Attaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des services d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque Responder ?
Attaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des services d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local.
Comment fonctionne Attaque Responder ?
Responder est un outil Python qui combine empoisonnement LLMNR, NBT-NS, mDNS et DHCPv6 a des serveurs factices SMB, HTTP, FTP, MSSQL, LDAP, WPAD et proxy. Quand une victime fait une faute de frappe ou utilise un partage mal configure, Responder repond, declenche l'authentification et collecte des hashes challenge-response NTLMv1/NTLMv2 pour cassage hors ligne avec hashcat ou john. Le mode analyse fonctionne de maniere passive, et l'option -wf demarre un WPAD malicieux. Combine avec ntlmrelayx d'Impacket, il alimente directement des attaques NTLM relay. Les defenses consistent a desactiver LLMNR et NBT-NS via GPO, imposer la signature SMB et LDAP, deployer Extended Protection for Authentication et segmenter le reseau pour bloquer un acces de niveau 2 non autorise.
Comment se défendre contre Attaque Responder ?
Les défenses contre Attaque Responder combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque Responder ?
Noms alternatifs courants : Attaque outil Responder, Empoisonneur LLMNR/NBT-NS.
● Termes liés
- attacks№ 620
Empoisonnement LLMNR
Technique d'adversary-in-the-middle (MITRE T1557.001) qui abuse du protocole Link-Local Multicast Name Resolution sur UDP/5355 pour rediriger les victimes vers des hotes controles par l'attaquant.
- attacks№ 715
Empoisonnement NBT-NS
Attaque d'adversary-in-the-middle qui abuse du trafic legacy NetBIOS Name Service sur UDP/137 pour falsifier les reponses de noms et collecter des authentifications NTLM.
- attacks№ 746
Attaque NTLM Relay
Attaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe.
- attacks№ 1057
Attaque SMB Relay
Variante particuliere du NTLM relay ou un attaquant relaie l'authentification SMB d'une victime vers un autre serveur SMB pour obtenir une execution de code ou un acces aux fichiers en son nom.
- attacks№ 790
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.