SMB Relay

SMBRelay und SMBRelay2 sind spezielle Programme, die in der Lage sind, Angriffe auf Remotecomputer auszuführen. Die Programme nutzen das SMB-Protokoll für den gemeinsamen Datenzugriff, das auf NetBIOS aufbaut. Die Freigabe eines Ordners oder eines Verzeichnisses im LAN erfolgt in der Regel mittels des SMB-Protokolls.

Im Rahmen der lokalen Netzwerkkommunikation werden Passwort-Hash-Werte ausgetauscht.

SMBRelay empfängt eine Verbindung über die UDP-Ports 139 und 445, leitet die zwischen Client und Server ausgetauschten Pakete weiter und manipuliert sie. Nachdem die Verbindung hergestellt wurde und die Authentifizierung erfolgt ist, wird die Verbindung zum Client getrennt. SMBRelay erstellt eine neue virtuelle IP-Adresse. Bis auf Aushandlungs- und Authentifizierungdaten leitet SMBRelay alle SMB-Protokoll-Daten weiter. Angreifer können die IP-Adresse verwenden, solange der Client-Computer verbunden ist.

SMBRelay2 funktioniert nach demselben Prinzip wie SMBRelay, verwendet aber NetBIOS-Namen statt IP-Adressen. Beide können Man-in-the-Middle-Angriffe ausführen. Über diese Art von Angriffen können Angreifer Nachrichten, die zwischen zwei Kommunikationsendpunkten ausgetauscht werden, unbemerkt lesen, einfügen und manipulieren. Computer, die solchen Angriffen ausgesetzt sind, reagieren häufig nicht mehr oder werden ohne ersichtlichen Grund neu gestartet.

Um Angriffe zu vermeiden, sollten Sie Authentifizierungspasswörter oder -schlüssel verwenden.