SMB Relay

SMB Relay и SMB Relay 2 являются особыми программами, которые способны атаковать удаленные компьютеры. Эти программы используют уязвимость протокола SMB, который встроен в NetBIOS. Если пользователь предоставляет общий доступ к каким-либо папкам через локальную сеть, скорее всего это осуществляется с помощью протокола SMB.

В рамках обмена данными по локальной сети происходит обмен данными хеш-таблиц паролей.

SMB Relay принимает соединения по UDP на портах 139 и 445, транслирует пакеты, которыми обмениваются клиент и сервер, и подменяет их. После подключения и аутентификации соединение с клиентом прерывается. SMB Relay создает новый виртуальный IP-адрес. Новый адрес доступен с помощью следующей команды: net use \\192.168.1.1. После этого доступ к адресу открыт для любой сетевой функции Windows. SMB Relay транслирует весь обмен данными по протоколу SMB через себя, кроме процессов установления соединения и аутентификации. Удаленная атакующая сторона может использовать IP-адрес, пока подключен клиентский компьютер.

SMB Relay 2 работает на основе того же принципа, что и SMB Relay, но использует имена NetBIOS вместо IP-адресов. Обе программы используют атаки «злоумышленник в середине». Эти атаки позволяют удаленной атакующей стороне считывать, вставлять и изменять сообщения между двумя сторонами, не обнаруживая себя. Атакованные таким методом компьютеры зачастую прекращают отвечать на запросы пользователя или внезапно перезагружаются.

Для того чтобы избежать проблем подобного рода, рекомендуется использовать пароли для аутентификации или ключи.