Responder

Responder est un outil Python open source créé par Laurent Gaffié, devenu emblématique du pentesting interne. Il exploite les protocoles de résolution de nom legacy de Windows — LLMNR (UDP/5355), NBT-NS (UDP/137), mDNS (UDP/5353) — pour intercepter les requêtes broadcast de résolution de noms et répondre malicieusement, redirigeant les victimes vers l'attaquant. La victime envoie alors automatiquement ses credentials NTLM/NTLMv2 pour s'authentifier, et Responder capture le hash.

Workflow : (1) un utilisateur tape une URL mal orthographiée ou tente d'accéder à un partage qui n'existe plus (ex: \\fileservr au lieu de \\fileserver) ; (2) la résolution DNS échoue, Windows fallback sur LLMNR/NBT-NS et broadcast la requête ; (3) Responder répond "c'est moi !" avant le vrai serveur ; (4) la victime tente une auth NTLMv2-SSP vers Responder qui capture le challenge/response ; (5) le hash est bruteforcé offline avec hashcat (mode 5600) ou relayé en temps réel via ntlmrelayx (NTLM relay).

Modes : analyse (-A, écoute passive sans répondre), poisoning actif, WPAD spoofing (HTTP proxy auto-discovery), forge de certificats pour MITM HTTPS basique.

Détection : (1) requêtes LLMNR/NBT-NS pour des noms inexistants depuis un host inconnu ; (2) honeypot Inveigh ou conPot ; (3) Microsoft Defender for Identity. Mitigations : (1) désactiver LLMNR via GPO (Multicast Name Resolution = Disabled) ; (2) désactiver NetBIOS over TCP/IP sur les interfaces réseau (DHCP option 001 ou GPO) ; (3) désactiver WPAD (créer entrée DNS "wpad" pointant vers 127.0.0.1) ; (4) SMB signing ; (5) segmentation réseau pour limiter le broadcast scope. Le couple Responder + ntlmrelayx est l'attaque interne la plus efficace.