TRollcake blog

Responderは、ネットワーク上でホストされているさまざまなサービスを模倣することにより、ネットワーク認証情報を取得するためのツールです。特に、Responderはネットワーク上でNetBIOS Name Service (NBT-NS) と LLMNR (Link-Local Multicast Name Resolution) のクエリに対応し、これらのクエリを悪用して認証情報を取得することができます。

このツールは、ネットワークのセキュリティ診断や侵入テストでよく使われ、ネットワーク上の認証情報がどれだけ安全に保護されているかを評価するのに役立ちます。Responderを使用すると、SMBやHTTP、FTP、SMTPなど様々なプロトコルを介してNTLMハッシュ形式で認証情報を収集できます。ただし、このツールの使用は潜在的なセキュリティリスクをもたらすため、適切な許可と倫理的な枠組みの下で使用する必要があります。

Responderが利用する主なネットワークプロトコルや機能は次の通りです。これらは、ネットワーク上の認証情報を取得するために悪用されることがあります。

• LLMNRは、ホスト名をIPアドレスに解決するためのプロトコルで、DNSサーバーが見つからない場合に使用されます。このプロトコルはマルチキャストを使用してローカルエリアネットワーク上の他のホストに名前解決クエリを送信し、対応するホストが応答します。Responderは、このクエリに偽の応答を送信することでホストを欺き、ネットワークトラフィックを自身に誘導して認証情報をキャプチャします。

• NetBIOS名は、ネットワーク内のデバイスを識別するために使われる名前です。NBT-NSは、これらの名前の解決を行うプロトコルであり、DNSが利用できない環境でよく使われます。Responderは、ネットワーク上でNetBIOS名解決クエリを傍受し、偽の応答を提供することで、ネットワークトラフィックを誘導し、認証情報を得ることができます。

• WPADは、ブラウザが自動的にプロキシ設定を検出するために使用されるプロトコルです。ネットワーク内でWPADファイル（プロキシ設定を含む）の場所を探すクエリを送信し、このクエリに対して偽のプロキシサーバー設定を提供することで、全てのHTTPトラフィックを悪意のあるサーバーに誘導します。これにより、Responderは通過する認証情報を取得することが可能です。

これらのプロトコルの脆弱性を利用することで、Responderはネットワーク上で認証情報を漏洩させることがあります。そのため、ネットワークのセキュリティ診断や侵入テストにおいて、これらの攻撃を検出し、対策を講じることが重要です。