s0174-responder - RunkIntel

# Responder > Tipo: **tool** · S0174 · [MITRE ATT&CK](https://attack.mitre.org/software/S0174) ## Descrição [[s0174-responder|Responder]] é uma ferramenta de código aberto escrita em Python, desenvolvida originalmente por Laurent Gaffie, amplamente utilizada em testes de penetração de redes Windows. O Responder explora protocolos de resolução de nomes broadcast (LLMNR, NBT-NS, MDNS) que o Windows usa como fallback quando o DNS falha, respondendo a todas as requisições broadcast e se apresentando como o servidor solicitado. Uma vez que a vítima "conecta" ao Responder, este captura os hashes de autenticação NTLMv1/NTLMv2 enviados automaticamente pelo Windows. Em operações ofensivas, o [[s0174-responder|Responder]] é utilizado na fase de credential access para capturar hashes NTLM de usuários e computadores na mesma sub-rede sem interação ativa do alvo. Os hashes capturados são submetidos a ferramentas de quebra offline como Hashcat para recuperar senhas em texto claro, ou utilizados diretamente em ataques SMB relay (combinando Responder com [[s0357-impacket|Impacket]] `ntlmrelayx.py`) para autenticação em outros sistemas sem precisar quebrar o hash. Grupos como [[g1003-ember-bear|Ember Bear]] (Rússia), [[g0007-apt28|APT28]] e [[g0032-lazarus-group|Lazarus Group]] utilizam Responder como etapa de coleta de credenciais em redes internas comprometidas. A eficácia do Responder depende de a rede ter LLMNR e NBT-NS habilitados - o que é o padrão em todos os sistemas Windows sem hardening adicional. A mitigação primária é desabilitar LLMNR via GPO (`Computer Configuration > Administrative Templates > Network > DNS Client > Turn Off Multicast Name Resolution`) e NBT-NS via propriedades do adaptador de rede. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1557-001-llmnrnbt-ns-poisoning-and-smb-relay|T1557.001 - LLMNR/NBT-NS Poisoning and SMB Relay]] ## Grupos que Usam - [[g1003-ember-bear|Ember Bear]] - [[g0007-apt28|APT28]] - [[g0032-lazarus-group|Lazarus Group]] ## Detecção **Fontes de dados recomendadas:** - **Network / IDS:** Respostas a queries LLMNR/NBT-NS broadcast provenientes de hosts que normalmente não respondem a essas queries - indica presença de Responder na rede - **Windows Event ID 4648:** Tentativas de autenticação NTLM para hosts inesperados imediatamente após falha de resolução DNS - **Sysmon Event ID 1 (ProcessCreaté):** `Responder.py` executado via Python ou executável compilado em hosts internos - Responder é frequentemente dropado em um sistema comprometido para capturar credenciais da rede local **Regras de detecção:** - Sigma: `net_detection_responder.yml` - detecta respostas LLMNR/NBT-NS maliciosas características do Responder (SigmaHQ) - Microsoft Defender for Identity: Alerta nativo "LDAP and SMB Relay Attacks" detecta o padrão de relay attack do Responder - Network Monitor: Script para detectar múltiplas respostas LLMNR do mesmo IP em intervalo de 1 segundo (comportamento anômalo do Responder) ## Relevância LATAM/Brasil [[s0174-responder|Responder]] é amplamente utilizado em avaliações de segurança no Brasil e também em ataques reais. A grande maioria das redes corporativas brasileiras tem LLMNR e NBT-NS habilitados por padrão - sem a GPO de desabilitação recomendada pelo CIS Benchmark - tornando o ambiente ideal para captura de hashes via Responder. [[g1003-ember-bear|Ember Bear]] e [[g0007-apt28|APT28]] - grupos com operações documentadas em redes corporativas europeias e americanas que frequentemente se conectam com parceiros brasileiros - utilizam Responder em fases de movimento lateral. Em exercícios de red team realizados em empresas brasileiras, o Responder captura hashes de credenciais em virtualmente 100% dos ambientes testados que não desabilitaram LLMNR. ## Referências - [MITRE ATT&CK - S0174](https://attack.mitre.org/software/S0174)