Responder 攻撃
Responder 攻撃 とは何ですか?
Responder 攻撃Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。
Responder は Laurent Gaffie 氏による Python 製ツールで、LLMNR・NBT-NS・mDNS・DHCPv6 のポイズニングと、SMB・HTTP・FTP・MSSQL・LDAP・WPAD・プロキシの組み込み不正認証サーバーを組み合わせています。被害者がホスト名を打ち間違えたり、DNS レコードのない名前を問い合わせたりすると、Windows はこれらのブロードキャスト/マルチキャストプロトコルにフォールバックします。Responder は真っ先に応答して要求されたホストになりすまし、被害者に認証を促し、オフラインで hashcat や john でクラックするための NTLMv1/NTLMv2 のチャレンジ・レスポンスハッシュを収集します。
悪用される挙動は、長年にわたる Windows の設計上の選択です。LLMNR(RFC 4795)と NBT-NS は認証されない名前解決のフォールバックであるため、セグメント上の任意のホストが任意の名前になりすませます。応答はブロードキャスト/マルチキャストであるため、攻撃者には L2 の存在だけが必要で、事前の資格情報は不要です。これが、Responder が企業 LAN に参加して数分以内にハッシュを得られる典型的な理由です。--analyze モードで受動的に実行すると、応答を送らずにポイズニングの機会をマッピングします。-w の WPAD モジュールはプロキシ自動設定を乗っ取り、ブラウザの NTLM を強制します。クラックに耐える捕獲済み NTLMv2 ハッシュも依然として有用で、Impacket の ntlmrelayx に流し込めば、SMB や LDAP の署名を欠くホストに対するライブの NTLM リレー攻撃になります。
flowchart TD
V[被害者が未知の名前を問い合わせる] --> Q{DNS で解決される?}
Q -->|いいえ| B[LLMNR / NBT-NS / mDNS をブロードキャスト]
B --> R["Responder が真っ先に応答<br/>『そのホストは私です』"]
R --> AU["不正 SMB/HTTP サーバー<br/>が認証を要求"]
AU --> H[NTLMv2 チャレンジ・レスポンスを捕獲]
H --> C["オフラインクラック<br/>hashcat / john"]
H --> RL[ntlmrelayx でライブリレー]
G[GPO で LLMNR と NBT-NS を無効化] -.防止.-> B防御側は GPO で LLMNR と NBT-NS を無効化し、SMB および LDAP の署名を強制し、Extended Protection for Authentication を導入し、不正な L2 アクセスを拒否するためネットワークをセグメント化します。ハニー資格情報のカナリアや、ポイズニングされた LLMNR 応答を検知する IDS シグネチャは、Responder の使用を検出するのに役立ちます。
● 例
- 01
社内ペンテストで Responder を実行し、LAN に参加して数分以内に数十件の NTLMv2 ハッシュを収集する。
- 02
Responder の WPAD モジュールと ntlmrelayx を連携させ、ブラウザ起点の NTLM 認証を社内 Web アプリへリレーする。
● よくある質問
Responder 攻撃 とは何ですか?
Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Responder 攻撃 とはどういう意味ですか?
Laurent Gaffie 氏の Responder を用いて LLMNR・NBT-NS・mDNS をポイズニングし、不正な認証サーバーを立ち上げて、ローカルネットワーク上の NTLM 認証情報を収集・リレーする攻撃。
Responder 攻撃 からどのように防御しますか?
Responder 攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Responder 攻撃 の別名は何ですか?
一般的な別名: Responder tool attack, LLMNR/NBT-NS poisoner。