Ataque com Responder
O que é Ataque com Responder?
Ataque com ResponderAtaque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
O Responder e uma ferramenta em Python que combina envenenamento de LLMNR, NBT-NS, mDNS e DHCPv6 com servidores falsos embutidos de SMB, HTTP, FTP, MSSQL, LDAP, WPAD e proxy. Quando a vitima digita um host errado ou usa um compartilhamento mal configurado, o Responder responde, induz a autenticacao e coleta hashes NTLMv1/NTLMv2 challenge-response para crack offline com hashcat ou john. No modo analyse opera de forma passiva, e com -wf sobe um WPAD malicioso. Em conjunto com o ntlmrelayx do Impacket, alimenta diretamente cadeias de NTLM relay. As defesas sao desabilitar LLMNR e NBT-NS via GPO, exigir assinatura SMB e LDAP, implantar Extended Protection for Authentication e segmentar a rede para bloquear acessos nao autorizados na camada 2.
● Exemplos
- 01
Executar o Responder em um pentest interno e coletar dezenas de hashes NTLMv2 poucos minutos apos entrar na LAN.
- 02
Encadear o modulo WPAD do Responder com o ntlmrelayx para relayar auth NTLM iniciada pelo navegador a uma aplicacao web interna.
● Perguntas frequentes
O que é Ataque com Responder?
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque com Responder?
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
Como funciona Ataque com Responder?
O Responder e uma ferramenta em Python que combina envenenamento de LLMNR, NBT-NS, mDNS e DHCPv6 com servidores falsos embutidos de SMB, HTTP, FTP, MSSQL, LDAP, WPAD e proxy. Quando a vitima digita um host errado ou usa um compartilhamento mal configurado, o Responder responde, induz a autenticacao e coleta hashes NTLMv1/NTLMv2 challenge-response para crack offline com hashcat ou john. No modo analyse opera de forma passiva, e com -wf sobe um WPAD malicioso. Em conjunto com o ntlmrelayx do Impacket, alimenta diretamente cadeias de NTLM relay. As defesas sao desabilitar LLMNR e NBT-NS via GPO, exigir assinatura SMB e LDAP, implantar Extended Protection for Authentication e segmentar a rede para bloquear acessos nao autorizados na camada 2.
Como se defender contra Ataque com Responder?
As defesas contra Ataque com Responder costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque com Responder?
Nomes alternativos comuns: Ataque ferramenta Responder, Envenenador LLMNR/NBT-NS.
● Termos relacionados
- attacks№ 620
Envenenamento LLMNR
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
- attacks№ 715
Envenenamento NBT-NS
Ataque adversary-in-the-middle que abusa do trafego legado do NetBIOS Name Service em UDP/137 para forjar respostas de nomes e capturar autenticacoes NTLM.
- attacks№ 746
Ataque de NTLM Relay
Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.
- attacks№ 1057
Ataque de SMB Relay
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.