Site cover image

Site icon imageだぶるこんぱいる

X@ToRollcake バトルプログラマーシラセにあこがれたホワイトハッカーです。

🎚️Responderを使用したSMB認証の監視

Responderとは

Responderは、ネットワーク上でホストされているさまざまなサービスを模倣することにより、ネットワーク認証情報を取得するためのツールです。特に、Responderはネットワーク上でNetBIOS Name Service (NBT-NS) と LLMNR (Link-Local Multicast Name Resolution) のクエリに対応し、これらのクエリを悪用して認証情報を取得することができます。

このツールは、ネットワークのセキュリティ診断や侵入テストでよく使われ、ネットワーク上の認証情報がどれだけ安全に保護されているかを評価するのに役立ちます。Responderを使用すると、SMBやHTTP、FTP、SMTPなど様々なプロトコルを介してNTLMハッシュ形式で認証情報を収集できます。ただし、このツールの使用は潜在的なセキュリティリスクをもたらすため、適切な許可と倫理的な枠組みの下で使用する必要があります。

Responderは、検出されたリンクローカル マルチキャスト名解決 (LLMNR)、NetBIOS ネーム サービス (NBT-NS)、および Web プロキシ自動検出 (WPAD) 要求をポイズニングできる

Responderが利用する主なネットワークプロトコルや機能は次の通りです。これらは、ネットワーク上の認証情報を取得するために悪用されることがあります。

LLMNR(Link-Local Multicast Name Resolution)
  • LLMNRは、ホスト名をIPアドレスに解決するためのプロトコルで、DNSサーバーが見つからない場合に使用されます。このプロトコルはマルチキャストを使用してローカルエリアネットワーク上の他のホストに名前解決クエリを送信し、対応するホストが応答します。Responderは、このクエリに偽の応答を送信することでホストを欺き、ネットワークトラフィックを自身に誘導して認証情報をキャプチャします。
NBT-NS(NetBIOS Name Service)
  • NetBIOS名は、ネットワーク内のデバイスを識別するために使われる名前です。NBT-NSは、これらの名前の解決を行うプロトコルであり、DNSが利用できない環境でよく使われます。Responderは、ネットワーク上でNetBIOS名解決クエリを傍受し、偽の応答を提供することで、ネットワークトラフィックを誘導し、認証情報を得ることができます。
WPAD(Web Proxy Auto-Discovery Protocol)
  • WPADは、ブラウザが自動的にプロキシ設定を検出するために使用されるプロトコルです。ネットワーク内でWPADファイル(プロキシ設定を含む)の場所を探すクエリを送信し、このクエリに対して偽のプロキシサーバー設定を提供することで、全てのHTTPトラフィックを悪意のあるサーバーに誘導します。これにより、Responderは通過する認証情報を取得することが可能です。

これらのプロトコルの脆弱性を利用することで、Responderはネットワーク上で認証情報を漏洩させることがあります。そのため、ネットワークのセキュリティ診断や侵入テストにおいて、これらの攻撃を検出し、対策を講じることが重要です。

© 2024 Trollcake