Ataque com Responder
O que é Ataque com Responder?
Ataque com ResponderAtaque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
O Responder e uma ferramenta em Python de Laurent Gaffie que combina envenenamento de LLMNR, NBT-NS, mDNS e DHCPv6 com servidores de autenticacao falsos embutidos de SMB, HTTP, FTP, MSSQL, LDAP, WPAD e proxy. Quando uma vitima digita um nome de host errado ou consulta um nome sem registo DNS, o Windows recorre a estes protocolos de broadcast/multicast; o Responder responde primeiro, alega ser o host requisitado, induz a vitima a autenticar e colhe hashes challenge-response NTLMv1/NTLMv2 para crack offline com hashcat ou john.
O comportamento explorado e uma escolha de design de longa data do Windows: o LLMNR (RFC 4795) e o NBT-NS sao fallbacks de resolucao de nomes nao autenticados, pelo que qualquer host no segmento pode personificar qualquer nome. Como as respostas sao broadcast/multicast, o atacante precisa apenas de presenca na camada 2, sem credenciais previas, razao pela qual o Responder normalmente produz hashes poucos minutos apos entrar numa LAN corporativa. Executando passivamente no modo --analyze, mapeia oportunidades de envenenamento sem enviar respostas; o modulo WPAD -w sequestra a auto-configuracao de proxy para coagir NTLM do navegador. Hashes NTLMv2 capturados que resistem ao crack ainda sao uteis: canalizados para o ntlmrelayx do Impacket, tornam-se ataques de NTLM relay ao vivo contra hosts sem assinatura SMB ou LDAP.
flowchart TD
V[Vitima consulta um nome desconhecido] --> Q{DNS resolve?}
Q -->|Nao| B[Broadcast LLMNR / NBT-NS / mDNS]
B --> R[Responder responde primeiro<br/>'esse host sou eu']
R --> AU[Servidor SMB/HTTP falso<br/>induz autenticacao]
AU --> H[Capturar challenge-response NTLMv2]
H --> C[Crack offline<br/>hashcat / john]
H --> RL[Relayar ao vivo via ntlmrelayx]
G[Desabilitar LLMNR e NBT-NS via GPO] -.previne.-> BOs defensores desabilitam LLMNR e NBT-NS via GPO, forcam assinatura SMB e LDAP, implantam Extended Protection for Authentication e segmentam redes para negar acesso nao autorizado na camada 2. Canarios de honey-credentials e assinaturas de IDS para respostas LLMNR envenenadas ajudam a detetar o uso do Responder.
● Exemplos
- 01
Executar o Responder em um pentest interno e coletar dezenas de hashes NTLMv2 poucos minutos apos entrar na LAN.
- 02
Encadear o modulo WPAD do Responder com o ntlmrelayx para relayar auth NTLM iniciada pelo navegador a uma aplicacao web interna.
● Perguntas frequentes
O que é Ataque com Responder?
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque com Responder?
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
Como se defender contra Ataque com Responder?
As defesas contra Ataque com Responder costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque com Responder?
Nomes alternativos comuns: Ataque ferramenta Responder, Envenenador LLMNR/NBT-NS.