SMB Relay

SMB Relay a SMB Relay2 jsou speciální programy, které dokáží provést útok na vzdálený počítač. Program využívá protokol pro sdílení souborů SMB (Server Message Block) provázaný s rozhraním NetBIOS. Pokud sdílíte složku nebo disk v rámci lokální sítě, využíváte s nejvyšší pravděpodobností tento způsob sdílení.

V rámci komunikace uvnitř lokální sítě poté dochází k výměně kontrolních součtů (hash) uživatelských hesel.

Program SMB Relay zachytává komunikaci na portu UDP 139 a 445, přesměruje pakety mezi klientem a serverem příslušné stanice a upraví je. Po připojení a autentifikaci je klientská stanice odpojena a program SMB Relay vytvoří novou virtuální IP adresu. K této adrese se poté lze připojit příkazem "net use \\192.168.1.1" a adresa může být používána všemi integrovanými síťovými funkcemi systému Windows. Program přenáší veškerou komunikaci SMB kromě vyjednávání (negotiation) a autentifikace. Pokud je klientský počítač připojen, vzdálený útočník se může kdykoli připojit na uvedenou IP adresu.

Program SMB Relay 2 pracuje na stejném principu jako SMB Relay. Namísto IP adres však používá názvy z rozhraní NetBIOS. Oba programy umožňují útoky typu "man-in-the-middle" (člověk uprostřed), tedy útoky, kde útočník dokáže číst, zadávat a měnit odkazy mezi dvěma stranami bez toho, aby o tom některá ze stran věděla. Nejčastějším příznakem je, že systém přestane reagovat, nebo dojde k náhlému restartování počítače.

Doporučenou ochranou proti těmto útokům je používání autentifikace za pomoci hesel nebo klíčů.