SMB Relay

SMB Relay und SMB Relay2 sind besondere Programme zum Ausführen von Angriffen auf Remotecomputer. Die Programme nutzen das SMB-Protokoll für den gemeinsamen Datenzugriff, das auf NetBIOS aufbaut. Die Freigabe eines Ordners oder eines Verzeichnisses im LAN erfolgt in der Regel mittels des SMB-Protokolls.

Im Rahmen der lokalen Netzwerkkommunikation werden Passwort-Hash-Werte ausgetauscht.

SMB Relay empfängt eine Verbindung über die UDP-Ports 139 und 445, leitet die zwischen Client und Server ausgetauschten Pakete weiter und manipuliert sie. Nachdem die Verbindung hergestellt wurde und die Authentifizierung erfolgt ist, wird die Verbindung zum Client getrennt. SMB Relay erstellt eine neue virtuelle IP-Adresse. Auf die neue Adresse kann über den Befehl „net use \\192.168.1.1“ zugegriffen werden. Jede der Windows-Netzwerkfunktionen kann dann auf diese Adresse zugreifen. Bis auf Aushandlungs- und Authentifizierungsdaten leitet SMB Relay alle SMB-Protokoll-Daten weiter. Angreifer können die IP-Adresse verwenden, solange der Client-Computer verbunden ist.

SMB Relay2 funktioniert nach demselben Prinzip wie SMB Relay, verwendet aber NetBIOS-Namen statt IP-Adressen. Beide können Man-in-the-Middle-Angriffe ausführen. Über diese Art von Angriffen können Angreifer Nachrichten, die zwischen zwei Kommunikationsendpunkten ausgetauscht werden, unbemerkt lesen und manipulieren. Computer, die solchen Angriffen ausgesetzt sind, senden häufig keine Antwort mehr oder führen ohne ersichtlichen Grund einen Neustart aus.

Um Angriffe zu vermeiden, sollten Sie Authentifizierungspasswörter oder -schlüssel verwenden.