Responder

Fonctionnement technique

Responder est un outil de sécurité offensive qui empoisonne les protocoles de résolution de noms multicast et broadcast sur les réseaux locaux Windows : LLMNR (Link-Local Multicast Name Resolution), NBT-NS (NetBIOS Name Service) et mDNS (multicast DNS). Lorsqu'une machine Windows ne parvient pas à résoudre un nom d'hôte via DNS, elle émet une requête LLMNR/NBT-NS en broadcast sur le réseau local.

Responder intercepte ces requêtes et répond en se faisant passer pour le serveur recherché. La machine victime initie alors une authentification NTLM vers Responder, qui capture le hash NTLMv2 (challenge-response). Ce hash peut ensuite être craqué offline avec des outils comme Hashcat ou John the Ripper, ou relayé en temps réel vers un service cible via ntlmrelayx.

L'outil embarque également des serveurs HTTP, SMB, FTP, LDAP, SQL et WPAD qui répondent automatiquement aux requêtes d'authentification. Le serveur WPAD (Web Proxy Auto-Discovery) est particulièrement efficace : en répondant aux requêtes WPAD, Responder peut intercepter le trafic HTTP des machines configurées en détection automatique de proxy.

Cas d'usage

Responder est systématiquement utilisé en première phase d'un pentest interne sur un réseau Active Directory. L'auditeur connecte sa machine au réseau, lance Responder et collecte passivement les hashes NTLMv2 des utilisateurs dont les machines émettent des requêtes de résolution de noms échouées (fautes de frappe, partages obsolètes, anciennes configurations).

En combinaison avec ntlmrelayx, Responder permet de relayer les authentifications capturées vers des machines où le SMB signing n'est pas requis, obtenant une exécution de commandes à distance. Ce vecteur d'attaque est souvent le chemin le plus rapide vers un premier accès privilégié en environnement Active Directory non durci.

Outils et implémentation

Responder (Laurent Gaffié / SpiderLabs) est disponible sur GitHub et préinstallé dans Kali Linux. Il se lance avec la commande responder -I eth0 -wFb (w pour WPAD, F pour forcer l'authentification NTLM, b pour les requêtes de base).

Pour le cracking des hashes capturés, Hashcat (mode 5600 pour NTLMv2) avec des règles et des wordlists comme rockyou ou SecLists est l'outil standard. CrackMapExec (NetExec) identifie les machines vulnérables au relay. MultiRelay, intégré à Responder, permet le relay SMB directement. Inveigh est l'équivalent Windows en PowerShell/.NET.

Défense / Bonnes pratiques

La défense prioritaire consiste à désactiver LLMNR et NBT-NS dans tout l'environnement. Désactivez LLMNR via GPO : Configuration ordinateur > Modèles d'administration > Réseau > Client DNS > Désactiver la résolution de nom multidiffusion. Désactivez NBT-NS dans les paramètres de chaque interface réseau via GPO ou script DHCP.

Désactivez WPAD si vous n'utilisez pas de proxy automatique. Configurez un enregistrement DNS « wpad » pointant vers votre proxy légitime pour empêcher l'empoisonnement WPAD. Activez le SMB signing obligatoire sur tous les systèmes pour bloquer le relay NTLM.

Déployez une solution de détection réseau (NDR) capable d'identifier les réponses LLMNR/NBT-NS suspectes provenant de machines non autorisées. Surveillez les Event ID 4697 et 4624 (logon type 3) pour détecter les accès SMB relayés. Des honeypots réseau émettant des requêtes LLMNR contrôlées peuvent détecter la présence d'un Responder actif sur le réseau.

Articles associés

Voir nos articles détaillés sur ce sujet.