SMB Relay і SMB Relay 2 – це спеціальні програми, які
можуть атакувати віддалені комп’ютери. Ці програми використовують
для своїх цілей протокол обміну SMB (блок серверних повідомлень),
який накладається на NetBIOS. Якщо користувач надає спільний доступ
до папки або каталогу в межах локальної мережі, він, найімовірніше,
використовує цей протокол обміну.
Під час зв’язку в локальній мережі виконується обмін хеш-кодами
паролів.
SMB Relay отримує підключення через UDP-порт 139 і 445,
ретранслює та змінює пакети, якими обмінюються клієнт і сервер.
Після підключення й автентифікації клієнт відключається. SMB Relay
створює нову віртуальну IP-адресу. Доступ до нової адреси
отримується за допомогою команди "net use \\192.168.1.1". Після
цього адресу можна використовувати для будь-яких мережевих функцій
Windows. SMB Relay ретранслює за протоколом SMB всі пакети, окрім
пакетів узгодження й автентифікації. Віддалені зловмисники можуть
користуватися цією IP-адресою, доки клієнтський комп’ютер
залишається підключеним.
SMB Relay 2 працює за тим самим принципом, що й SMB Relay, але
замість IP-адрес використовує імена NetBIOS. Обидві програми можуть
здійснювати атаки типу "незаконний посередник". Ці атаки дозволяють
віддаленому зловмиснику непомітно читати, вставляти та змінювати
повідомлення, які передаються між двома кінцевими точками.
Комп’ютери, які зазнають таких атак, часто перестають відповідати
на запити або несподівано перезапускаються.
Щоб уникнути атак, рекомендується використовувати паролі або
ключі автентифікації.
|