SMB-välitys

SMB Relay ja SMB Relay 2 ovat erityisohjelmia, jotka voivat hyökätä etätietokoneita vastaan. Ohjelmat hyödyntävät NetBIOSin Server Message Block (palvelinviestilohko) -tiedostojakoprotokollaa. Jos käyttäjä jakaa kansion tai hakemiston lähiverkossa, hän todennäköisesti käyttää tätä tiedostonjakoprotokollaa.

Salasananippuja vaihdetaan usein paikallisverkkoliikenteessä.

SMB Relay vastaanottaa tietoliikenteen UDP-porteissa 139 ja 445, välittää asiakkaan ja palvelimen vaihtamat paketit ja muokkaa niitä. Kun yhteys on muodostettu ja todennettu, asiakkaan yhteys katkaistaan. SMB Relay luo uuden virtuaalisen IP-osoitteen. Uusi osoite voidaan tarkistaa komennolla "net use \\192.168.1.1". Windows-verkkotoiminnot voivat käyttää osoitetta. SMB Relay välittää SMB-protokollaliikenteen neuvottelua ja todennusta lukuun ottamatta. Etähyökkääjät voivat käyttää IP-osoitetta, kun asiakaskone on muodostanut yhteyden.

SMB Relay 2 toimii samalla periaatteella kuin SMB Relay, paitsi että se käyttää NetBIOS-nimiä IP-osoitteiden sijaan. Molemmat voivat toteuttaa "välikäsihyökkäyksiä". Näissä hyökkäyksissä etähyökkääjät voivat lukea, lisätä tai muokata tietoliikenteen päätepisteiden välisiä viestejä huomaamatta. Tälle hyökkäykselle altistuneet tietokoneet lopettavat usein toimintansa tai käynnistyvät uudelleen odottamatta.

Vältä hyökkäyksiä käyttämällä todennussalasanoja tai -avaimia.