Transmisión SMB

SMBRelay y SMBRelay2 son programas especiales capaces de llevar a cabo ataques contra equipos remotos. Estos programas aprovechan el protocolo SMB (bloque de mensajes del servidor) para compartir archivos, que se usa como capa superior a NetBIOS. Si un usuario comparte carpetas o directorios dentro una LAN, lo más probable es que utilice este protocolo para compartir archivos.

Dentro de la comunicación local de red, se intercambian hashes de contraseñas.

SMBRelay recibe una conexión en un puerto UDP 139 y 445, transmite los paquetes intercambiados por el cliente y el servidor, y los modifica. Después de realizar la conexión y la autenticación, el cliente se desconecta. SMBRelay crea nuevas direcciones IP virtuales. SMBRelay transmite las comunicaciones del protocolo SMB, excepto la negociación y la autenticación. Los atacantes remotos pueden usar la dirección IP siempre y cuando el equipo cliente esté conectado.

SMBRelay2 funciona con el mismo principio que SMBRelay, excepto que usa nombres NetBIOS en lugar de direcciones IP. Ambos realizan ataques de intermediario (MITM). Estos ataques permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos terminales de comunicación sin ser vistos. Los equipos expuestos a tales ataques a menudo dejan de responder o se reinician de forma inesperada.

Para evitar ataques recomendamos usar contraseñas o claves de autenticación.