Responder 攻击
Responder 攻击 是什么?
Responder 攻击利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。
Responder 是一个 Python 工具,集成了对 LLMNR、NBT-NS、mDNS 和 DHCPv6 的投毒能力,并内置 SMB、HTTP、FTP、MSSQL、LDAP、WPAD 和代理等伪造认证服务。当受害者打错主机名或共享配置错误时,Responder 进行应答并诱导其完成认证,从而收集 NTLMv1/NTLMv2 挑战-响应哈希,可用 hashcat 或 john 进行离线破解。在 analyse 模式下可被动运行,使用 -wf 参数则可启动恶意 WPAD 服务器。结合 Impacket 的 ntlmrelayx,可以把捕获到的认证直接进入 NTLM Relay 攻击链。防御方应通过组策略禁用 LLMNR 与 NBT-NS、强制 SMB 与 LDAP 签名、部署 Extended Protection for Authentication,并对网络进行分段以阻止恶意接入二层。
● 示例
- 01
在内部渗透测试中运行 Responder,加入 LAN 几分钟内即收集到数十个 NTLMv2 哈希。
- 02
将 Responder 的 WPAD 模块与 ntlmrelayx 串联,把浏览器发起的 NTLM 认证转发至内部 Web 应用。
● 常见问题
Responder 攻击 是什么?
利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。 它属于网络安全的 攻击与威胁 分类。
Responder 攻击 是什么意思?
利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。
Responder 攻击 是如何工作的?
Responder 是一个 Python 工具,集成了对 LLMNR、NBT-NS、mDNS 和 DHCPv6 的投毒能力,并内置 SMB、HTTP、FTP、MSSQL、LDAP、WPAD 和代理等伪造认证服务。当受害者打错主机名或共享配置错误时,Responder 进行应答并诱导其完成认证,从而收集 NTLMv1/NTLMv2 挑战-响应哈希,可用 hashcat 或 john 进行离线破解。在 analyse 模式下可被动运行,使用 -wf 参数则可启动恶意 WPAD 服务器。结合 Impacket 的 ntlmrelayx,可以把捕获到的认证直接进入 NTLM Relay 攻击链。防御方应通过组策略禁用 LLMNR 与 NBT-NS、强制 SMB 与 LDAP 签名、部署 Extended Protection for Authentication,并对网络进行分段以阻止恶意接入二层。
如何防御 Responder 攻击?
针对 Responder 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
Responder 攻击 还有哪些其他名称?
常见的别称包括: Responder 工具攻击, LLMNR/NBT-NS 投毒工具。
● 相关术语
- attacks№ 620
LLMNR 投毒
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
- attacks№ 715
NBT-NS 投毒
一种中间人攻击,利用 UDP/137 上的传统 NetBIOS 名称服务流量伪造名称应答,以捕获 NTLM 认证。
- attacks№ 746
NTLM Relay 攻击
一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。
- attacks№ 1057
SMB Relay 攻击
NTLM Relay 的一种特定变体,攻击者将受害者的 SMB 认证转发到另一台 SMB 服务器,以受害者身份获取代码执行或文件访问。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。