Vi trovate in un quartiere sconosciuto ed avete bisogno di indicazioni per raggiungere una destinazione importante. Invece di rivolgervi ad una fonte ufficiale, decidete di chiedere a chiunque passi per strada. Ora, prendete in considerazione che, tra le persone che vi risponderanno, ci sia anche qualcuno con cattive intenzioni, pronto a darvi informazioni errate o fuorvianti, per attirarvi in trappola. Questa metafora, rappresenta bene il quadro in cui operano i protocolli LLMNR e NBT-NS, utilizzati dai sistemi Windows: quando il DNS tradizionale non risolve un nome, procede inviando richieste di risoluzione a tutti i dispositivi.
È in questo contesto che entra in gioco Inveigh, uno strumento sviluppato in PowerShell da Kevin Robertson e disponibile su GitHub, considerato l’equivalente Windows di Responder. Inveigh intercetta le richieste di risoluzione e risponde in modo fraudolento: in modalità “rogue”, si finge il server legittimo catturando hash delle credenziali – come i NetNTLM – oppure, in certi casi, password in chiaro, consentendo così all’attaccante di ottenere un accesso iniziale alla rete, aprendo la strada ad ulteriori minacce come lo SMB Relay.
