SMB Relay

SMB Relay a SMB Relay 2 jsou speciální programy, které dokáží provést útok na vzdálená zařízení. Program využívá protokol pro sdílení souborů SMB (Server Message Block) provázaný s rozhraním NetBIOS. Pokud sdílíte složku nebo disk v lokální síti, využíváte s nejvyšší pravděpodobností tento způsob sdílení.

V rámci komunikace uvnitř lokální sítě poté dochází k výměně kontrolních součtů (hash) uživatelských hesel.

Program SMB Relay zachytává komunikaci na UDP portech 139 a 445, přesměruje pakety mezi klientem a serverem a upraví je. Po připojení a autentizaci je klientská stanice odpojena a program SMB Relay vytvoří novou virtuální IP adresu. K této nové adrese lze připojit příkazem „net use \\192.168.1.1“. Tuto adresu pak mohou používat všechny síťové funkce systému Windows. SMB Relay přenáší veškerou SMB komunikaci kromě vyjednávání (negotiation) a autentizace. Pokud je připojeno klientské zařízení, může vzdálený útočník použít tuto IP adresu.

Program SMB Relay 2 pracuje na stejném principu jako SMB Relay. Namísto IP adres však používá názvy z rozhraní NetBIOS. Oba programy umožňují útoky typu „man-in-the-middle“ (člověk uprostřed), tedy útoky, kde útočník dokáže číst, zadávat a měnit odkazy mezi dvěma stranami bez toho, aby o tom některá ze stran věděla. Nejčastějším příznakem je, že systém přestane reagovat, nebo dojde k náhlému restartování počítače.

Doporučenou ochranou proti těmto útokům je používání autentifikace za pomoci hesel nebo klíčů.