Атака с использованием Responder
Что такое Атака с использованием Responder?
Атака с использованием ResponderАтака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
Responder — Python-инструмент, объединяющий отравление LLMNR, NBT-NS, mDNS и DHCPv6 со встроенными ложными серверами SMB, HTTP, FTP, MSSQL, LDAP, WPAD и прокси. Когда жертва ошибается в имени хоста или подключается к плохо настроенному шару, Responder отвечает, провоцирует аутентификацию и собирает challenge-response-хеши NTLMv1/NTLMv2 для офлайн-взлома hashcat или john. В режиме analyse работает пассивно, а с флагом -wf поднимает вредоносный WPAD-сервер. В связке с ntlmrelayx из Impacket Responder напрямую снабжает атаки NTLM Relay. Защитники отключают LLMNR и NBT-NS через GPO, обязывают подпись SMB и LDAP, внедряют Extended Protection for Authentication и сегментируют сеть, чтобы исключить чужой L2-доступ.
● Примеры
- 01
Запуск Responder во внутреннем пентесте и сбор десятков NTLMv2-хешей в первые минуты после подключения к LAN.
- 02
Связка WPAD-модуля Responder и ntlmrelayx для ретрансляции инициированной браузером NTLM-аутентификации во внутреннее веб-приложение.
● Частые вопросы
Что такое Атака с использованием Responder?
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака с использованием Responder?
Атака с использованием инструмента Responder от Лорана Гафье, отравляющего LLMNR, NBT-NS и mDNS, поднимающего ложные службы аутентификации и перехватывающего или ретранслирующего NTLM-данные в локальной сети.
Как работает Атака с использованием Responder?
Responder — Python-инструмент, объединяющий отравление LLMNR, NBT-NS, mDNS и DHCPv6 со встроенными ложными серверами SMB, HTTP, FTP, MSSQL, LDAP, WPAD и прокси. Когда жертва ошибается в имени хоста или подключается к плохо настроенному шару, Responder отвечает, провоцирует аутентификацию и собирает challenge-response-хеши NTLMv1/NTLMv2 для офлайн-взлома hashcat или john. В режиме analyse работает пассивно, а с флагом -wf поднимает вредоносный WPAD-сервер. В связке с ntlmrelayx из Impacket Responder напрямую снабжает атаки NTLM Relay. Защитники отключают LLMNR и NBT-NS через GPO, обязывают подпись SMB и LDAP, внедряют Extended Protection for Authentication и сегментируют сеть, чтобы исключить чужой L2-доступ.
Как защититься от Атака с использованием Responder?
Защита от Атака с использованием Responder обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака с использованием Responder?
Распространённые альтернативные названия: Атака инструментом Responder, Отравитель LLMNR/NBT-NS.
● Связанные термины
- attacks№ 620
LLMNR-отравление
Техника «человек посередине» (MITRE T1557.001), эксплуатирующая протокол Link-Local Multicast Name Resolution на UDP/5355 для перенаправления жертв на хосты атакующего.
- attacks№ 715
NBT-NS-отравление
Атака «человек посередине», использующая устаревший трафик NetBIOS Name Service на UDP/137 для подмены ответов на имена и сбора NTLM-аутентификаций.
- attacks№ 746
Атака NTLM Relay
Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.
- attacks№ 1057
Атака SMB Relay
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
- attacks№ 790
Pass-the-Hash
Атака с повторным использованием учётных данных: аутентификация в Windows по украденному NTLM-хешу пароля без знания самого пароля.