Metoda SMB Relay

SMBRelay i SMBRelay2 to specjalne programy do przeprowadzania ataków na komputery zdalne. Korzystają one z protokołu udostępniania plików Server Message Block (SMB), który jest używany wraz z protokołem NetBIOS. Jeśli użytkownik udostępnia folder lub katalog w sieci LAN, najczęściej korzysta z tego protokołu udostępniania plików.

Podczas komunikacji w obrębie sieci lokalnej następuje wymiana skrótów haseł.

Program SMBRelay łączy się na portach UDP 139 i 445, przekazuje pakiety wymienione między klientem a serwerem i modyfikuje je. Po nawiązaniu połączenia i uwierzytelnieniu klient jest odłączany. Program SMBRelay tworzy nowy wirtualny adres IP. Program SMBRelay przepuszcza całą komunikację opartą na protokole SMB z wyjątkiem negocjacji i uwierzytelniania. Zdalni intruzi mogą korzystać z utworzonego adresu IP tak długo, dopóki będzie podłączony komputer kliencki.

Program SMBRelay2 działa w sposób analogiczny jak SMBRelay, ale zamiast adresów IP używa nazw NetBIOS. Oba programy mogą służyć do przeprowadzania ataków typu „man-in-the-middle”. Te ataki umożliwiają zdalnym intruzom odczytywanie, wstawianie i modyfikowanie po kryjomu wiadomości przesyłanych między dwoma końcowymi urządzeniami komunikacyjnymi. Komputery zaatakowane w ten sposób bardzo często przestają reagować na polecenia użytkownika lub nieoczekiwanie uruchamiają się ponownie.

W celu uniknięcia ataków zalecamy stosowanie haseł lub kluczy uwierzytelniających.