SMBリレー

SMB RelayとSMB Relay 2は、リモートコンピューターに攻撃を仕掛けることができる特殊なプログラムです。このプログラムは、Server Message Blockファイル共有プロトコルを利用します。このプロトコルはNetBIOSの上位層で機能します。LAN内でフォルダーやディレクトリーを共有する場合、このファイル共有プロトコルを使用するのが一般的です。

ローカルネットワーク通信内では、パスワードハッシュが交換されます。

SMB Relayは、UDPポート139と445で接続を受信し、クライアントとサーバー間で交換されるパケットを中継して、そのパケットを書き換えます。接続して認証した後、クライアントは接続を切断されます。SMB Relayは、新しい仮想のIPアドレスを作成します。新しいアドレスには、コマンド"net use \\192.168.1.1"でアクセスできます。これ以降、このアドレスは、Windowsのネットワーク機能で使用できます。SMB Relayはネゴシエーションと認証以外のSMBプロトコル通信を中継します。クライアントコンピューターが接続している限り、リモートの攻撃者はこのIPアドレスを利用できます。

SMB Relay 2はSMB Relayと同じ原理で機能しますが、IPアドレスではなくNetBIOS名を使用する点が異なります。どちらも"中間者"攻撃を実行できます。この攻撃では、リモートの攻撃者は、2つの通信端末間で交換されるメッセージの読み取り、挿入、および変更を密かに行えます。このような攻撃にさらされるコンピュータは、応答しなくなるか、突然に再起動することがよくあります。

攻撃を避けるため、認証パスワードか認証鍵の使用をお勧めします。