Transmisión SMB

SMB Relay y SMB Relay 2 son programas especiales capaces de llevar a cabo ataques contra equipos remotos. Los programas aprovechan el protocolo SMB (bloque de mensajes del servidor) para compartir archivos, que se usa como capa superior a NetBIOS. Si un usuario comparte carpetas o directorios dentro de la LAN, lo más probable es que utilice este protocolo para compartir archivos.

Dentro de la comunicación de red local, se intercambian valores hash de contraseña.

SMB Relay recibe una conexión en el puerto UDP 139 y 445, transmite los paquetes intercambiados entre el cliente y el servidor, y los modifica. Una vez realizada la conexión y la autenticación, el cliente se desconecta. SMB Relay crea una nueva dirección IP virtual. Es posible acceder a la nueva conexión con el comando “net use \\192.168.1.1”. Cualquiera de las funciones de red de Windows puede usar la dirección. SMB Relay transmite la comunicación del protocolo SMB, excepto la negociación y la autenticación. Los atacantes remotos pueden usar la dirección IP, siempre y cuando el equipo del cliente esté conectado.

SMB Relay2 funciona con el mismo principio que SMB Relay, con la diferencia de que usa nombres de NetBIOS en lugar de direcciones IP. Ambos realizan ataques de intermediario (MITM). Estos ataques permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos puntos finales de comunicación sin ser detectados. Los equipos expuestos a dichos ataques por lo general dejan de responder o se reinician inesperadamente.

Para evitar los ataques, es recomendable usar contraseñas o claves de autenticación.